下载地址:https://www.vulnhub.com/entry/dc-4,313/
主机发现
arp -scan -l
nmap -sP
端口扫描
扫描目录
尝试了弱口令和万能密码,也没有什么用
开始爆破
登录成功,看样子像是存在命令执行漏洞
发现可以直接执行命令,直接尝试反弹shell试试
反弹成功
用python来一个交互shell,便于操作
python -c 'import pty;pty.spawn("/bin/sh")'
切换到home目录
发现字典文件,复制到本地,然后使用hydra进行爆破
hydra -l jim -P zidian ssh://192.168.44.145
得到密码,利用xshell进行链接
查看jim目录下的mbox文件,发现是from从root@dc-4发给to jim的一份信
cat mbox
直接去/var/mail下查看邮件内容,这是一封charles给jim的一封邮件,大意就是Charles要去度假了,
老板让Charles把密码给jim,防止出现什么意外。
直接切换到Charles用户
su charles
查看权限,发现可以以root权限免密执行/usr/bin/teehee,看看这个文件的帮助,原来可以利用它来向其他文件写入内容
直接在/etc/passwd中增加一行,用户名为“shy014”,uid和gid都为0,那么这个用户就相当说root。之后直接切换到wang这个用户,得到root权限。
然后重启一下靶机,获得root权限,得到flag
尝试suid提权,发现exim4在使用时具有root权限,它有一个s标志位,允许其他的非root权限用户用root权限
来执行该文件
第二种:通过定时任务执行脚本提权:
向/etc/crontab文件中写入新的定时任务
时间部分全部填写为*,这样默认这个定时任务每分钟执行一次,可以根据情况自行设定。通过执行的脚本将/bin/sh的权限修改为4777,这样就可以在非root用户下执行它,并且执行期间拥有root权限。
查看exim4的版本,发现命令无效,suid提权失败。
exim4 --version