DC靶场的下载、安装与访问在上一篇的文章中。(1条消息) 2022-渗透测试-DC靶场的下载、安装与访问_保持微笑的博客-CSDN博客https://blog.csdn.net/qq_38612882/article/details/122779202
靶场攻略:
1、使用nmap快速扫描的命令:
nmap -sP --min-hostgroup 1024 --min-parallelism 1024 192.168.120.0/24
识别到靶场主机ip
2.使用命令:
nmap -A -p- -T4 192.168.120.136
探测靶场突破口
如图,可以看到,开放了80端口-http服务,22端口-ssh服务。
3.访问80端口,寻找进一步突破口。如果直接使用ip访问会跳转到http://dc-4/,而无法正常加载出来。所以需要我们去添加hosts文件,跳转域名来访问靶场ip。
Windows:可以访问本地hosts,打开C:\Windows\System32\drivers\etc,修改hosts文件。
Linux:在/etc/hosts文件中添加域名。
打开浏览器,访问即可。
发现登录窗口,使用burpsuite抓包之后进行爆破,得到账号密码为admin:happy
输入账号密码,登陆成功。
可以查看到文件
可以查看到磁盘的大小
可以查看磁盘使用情况再次使用Burpsuite抓包,通过修改radio参数,可以执行系统命令。
此时radio为ls+l,表示显示当前目录,+表示空格。
修改radio=cat+/etc/passwd,可以看到当前目录的一些目录。
如图,我们可以看到这些用户都有一个home家目录,因此我们可以去查看home目录
radio=ls+-al+/home&submit=Run
此时,我们可以分别取查看charles用户、jim用户以及sam用户下有没有特殊文件。
通过查找,我们发现在jim用户下的backups文件夹下面有一个old-passwords.bak文件。
查看这个文件
使用得到的密码文件,进行爆破,通过使用hydra爆破神器进行爆破
hydra -l jim -P ./1.txt ssh://192.168.120.136 -vV -f -e nsr -t 4
成功爆破出jim的ssh密码为jibril04
hydra爆破神奇的使用,在之前发布过文章,下面是链接地址。2022-渗透测试-口令破解-几款暴力破解和字典生成的工具_保持微笑的博客-CSDN博客https://blog.csdn.net/qq_38612882/article/details/122618108
使用ssh登录靶机,确定爆破密码正确
通过查看mbox文件,我们可以得知,root给jim发送了一封邮件。
在/var/mail/jim中,发现一封有charles用户密码的邮件,我们可以得知charles的密码:^xHhA&hvim0y。
切换到charles用户中
尝试提权。输入sudo -l,我们可以看到teehee命令,该命令不需要密码就可以运行root权限
查看命令的使用帮助,查看使用方法
知道-a参数,可以参数可以写入文件内容
我们可以创建一个用户,比如ajest
echo "ajest::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
此时用户创建成功,我们去登录,发现此时是root用户。
切换到root目录下,可以看到一个flag。