DC4靶机练习
文章目錄
- 1、查看靶機(jī)的mac地址
- 2、打開網(wǎng)頁(yè)發(fā)現(xiàn)了需要密賬號(hào)和密碼進(jìn)行登錄
- 3、用戶名admin,密碼:happy進(jìn)行登錄
- 4、ssh爆破
- 5、登錄成功后,查看相關(guān)文件
- 6、提權(quán)
實(shí)驗(yàn)環(huán)境:DC-4靶機(jī),kali攻擊機(jī)
靶機(jī):
鏈接:https://pan.baidu.com/s/1naWHuZDDwWOI2zqO6vG6OA 提取碼:rkzw
1、查看靶機(jī)的mac地址
掃描C段網(wǎng)絡(luò)
nmap -sP 192.168.246.130/24 -o nmap.sP
發(fā)現(xiàn)目標(biāo)主機(jī)的ip地址為192.168.246.143
掃描目標(biāo)主機(jī)開放的端口
nmap -A 192.168.246.143 -p 1-65535 -oN nmap.A
開放了80端口,可以訪問網(wǎng)頁(yè)
開放了22端口,可以嘗試爆破
2、打開網(wǎng)頁(yè)發(fā)現(xiàn)了需要密賬號(hào)和密碼進(jìn)行登錄
可以嘗試使用bp進(jìn)行爆破
根據(jù)提示,用戶名極有可能是admin,所以只需要對(duì)admin進(jìn)行爆破
尋找爆破的密碼字典,在kali中尋找/usr/share/john/passwd.lit
正式爆破,結(jié)果:
得知密碼為happy
3、用戶名admin,密碼:happy進(jìn)行登錄
打開可以發(fā)現(xiàn)能夠執(zhí)行相關(guān)命令
使用bp繼續(xù)抓包分析命令是怎么執(zhí)行的
這是執(zhí)行命令抓到的包
嘗試輸入whoami看能否執(zhí)行
發(fā)現(xiàn)有顯示結(jié)果,這表示存在命令注入漏洞
查看/etc/passwd
查看家目錄
依次查看每個(gè)用戶目錄
在查看jim目錄時(shí)發(fā)現(xiàn)了一個(gè)備份的密碼字典
查看這個(gè)密碼字典
將密碼復(fù)制保存到文件中
4、ssh爆破
創(chuàng)建用戶名文件,將三個(gè)用戶名加入進(jìn)去
hydra -L user.dic -P old-passwd.bak ssh://192.168.246.143 -vV -o hydra.ssh
可以得到用戶名為jim,密碼為jibril04
使用ssh進(jìn)行登錄
ssh jim@192.168.246.143
5、登錄成功后,查看相關(guān)文件
test.sh無作用,接著查看mbox里面的內(nèi)容
發(fā)現(xiàn)了一份root發(fā)給jim的郵件,這個(gè)時(shí)候可以從郵件入手。
查看郵件
查看jim
發(fā)現(xiàn)了一封charles發(fā)給jim的郵件,里面有charles的密碼:^xHhA&hvim0y
重開終端進(jìn)行連接
登錄后發(fā)現(xiàn)什么都沒有
6、提權(quán)
使用jim用戶提權(quán)
提示說jim用戶不能夠提權(quán),所以使用charles進(jìn)行提權(quán)試試
提示teehee
輸入teehee --help查看詳解
-a參數(shù)可以追加內(nèi)容
可以在/etc/passwd內(nèi)追加用戶,偽造uid為0的用戶
需要觀察/etc/passwd結(jié)構(gòu),共7個(gè)字段
sudo teehee -a /etc/passwd
aaa::0:0:::/bin/bash
總結(jié)
- 上一篇: Gremlin学习
- 下一篇: 旗舰手机2021的破局关键:抓住细分市场