【Vulnhub靶機滲透測試】之DC-4(teehee命令提權(在passwd或crontab中追加內容))
Vulnhub靶機滲透測試之DC-4
- 環境搭建
-
靶機映象下載地址:https://www.vulnhub.com/entry/dc-4,313/;
-
需要將靶機和kali攻擊機放在同一個區域網裡;
-
kali的IP地址:192.168.40.142。
1. 資訊收集
- 使用nmap掃描該網段存活的主機IP
可得知目標靶機IP為:192.168.40.144
- 使用nmap掃描靶機開放了哪些埠
可得知靶機開放了22、80埠;
- web指紋識別
- 訪問目標靶機的80埠
是一個Admin的登入介面,考慮bp抓包爆破一下密碼。
2. 漏洞利用
- 由於它是一個admin登入揭介面,使用者名稱就嘗試使用admin,密碼字典選擇kali的/usr/share/john目錄下的password.lst字典:
爆破結果 :根據狀態碼和長度判定密碼為happy
測試登入:成功登入
發現它似乎可以執行一些命令:
抓包分析:
發現它執行了 ls+l
的命令,這裡空格用+代替了,嘗試替換為其他命令:
成功執行了 whoami 命令,再嘗試檢視 /etc/passwd 檔案:
發現了幾個使用者:charles、jim、sam,分別檢視一下這裡幾個使用者目錄下有什麼值得利用的檔案:
發現使用者jim的backups目錄裡有一個檔案:old-passwords.bak(關於密碼的),檢視它:
我們將這些密碼儲存為檔案,現在我們有三個使用者名稱和一個密碼字典而且對方開放了22埠,使用hydra嘗試爆破:
hydra -L user.dic -P old-password.bak ssh://192.168.40.144 -vV -o hydra.ssh
爆破結果:爆破出使用者jim,密碼為:jibril04
- ssh登入jim使用者
成功登入,檢視jim使用者有什麼sudo命令可供使用:
結果:失敗!
只能找其他切入點,我們檢視一下mbox檔案:
似乎是一封root給jim傳送的郵件,此時可以檢視var目錄下的mail:
發現jim檔案,檢視內容:
是使用者charles將自己的密碼傳送給了jim,密碼為:^xHhA&hvim0y
- ssh登入charles使用者
發現該使用者有一個root許可權的命令:teehee,檢視該命令的使用方法:
有一個引數 -a,對指定檔案進行追加,不覆蓋,測試使用:
新建一個test檔案,然後使用teehee命令追加內容,成功追加!
3. 提權
思考:teehee命令可不可以追加內容到任意檔案裡?
- 嘗試在/etc/passwd檔案下追加內容,該檔案的結構:
使用者名稱:是否有密碼保護(x即有保護):uid:gid:全稱:home目錄:/bin/bash
我們追加一個名為hacker的使用者,將它的uid和gid也設定為root的0:
成功追加!
- 切換使用者
提權成功,發現flag檔案!
- 寫入定時任務檔案
可以在/etc/crontab下寫入定時計劃,提升到root許可權。
crontab介紹
Linux crontab是用來定期執行程式的命令。當安裝完成作業系統之後,預設便會啟動此任務排程命令。
時間格式如下:
f1 f2 f3 f4 f5 program
其中 f1 是表示分鐘,f2 表示小時,f3 表示一個月份中的第幾日,f4 表示月份,f5 表示一個星期中的第幾天。program 表示要執行的程式。
當 f1 為 * 時表示每分鐘都要執行 program,f2 為 * 時表示每小時都要執行程式,其餘類推;
當 f1 為 a-b 時表示從第 a 分鐘到第 b 分鐘這段時間內要執行,f2 為 a-b 時表示從第 a 到第 b 小時都要執行,其餘類推;
當 f1 為 */n 時表示每 n 分鐘個時間間隔執行一次,f2 為 */n 表示每 n 小時個時間間隔執行一次,其餘類推;
當 f1 為 a, b, c,... 時表示第 a, b, c,... 分鐘要執行,f2 為 a, b, c,... 時表示第 a, b, c...個小時要執行,其餘類推
* * * * *
- - - - -
| | | | |
| | | | +----- 星期中星期幾 (0 - 7) (星期天 為0)
| | | +---------- 月份 (1 - 12)
| | +--------------- 一個月中的第幾天 (1 - 31)
| +-------------------- 小時 (0 - 23)
+------------------------- 分鐘 (0 - 59)
所以我們可以追加內容為:echo "* * * * * root chmod 4777 /bin/sh" | sudo teehee -a /etc/crontab
,表示在/etc/crontab下寫入定時計劃,一分鐘後由root使用者給 /bin/bash 命令加許可權(chmod 4777即開啟suid和rwx許可權):
相關文章
- Me-and-My-Girlfriend-1靶機滲透 (Vulnhub內網滲透)內網
- VulnHub PowerGrid 1.0.1靶機滲透
- VulnHub CengBox2靶機滲透
- 【滲透測試】Vulnhub DarkHole
- 滲透測試——提權方式總結
- vulnhub-DC:8靶機滲透記錄
- vulnhub-DC:6靶機滲透記錄
- vulnhub-DC:7靶機滲透記錄
- vulnhub-DC:5靶機滲透記錄
- vulnhub-DC:2靶機滲透記錄
- vulnhub-DC:3靶機滲透記錄
- 【滲透測試】Vulnhub Hackable II
- 【HTB靶場系列】靶機Carrier的滲透測試
- 記pWnOS1.0靶機滲透測試
- 【HTB系列】靶機Bitlab的滲透測試
- 滲透測試-CTF-VulnHub - vedas
- Tr0ll: 1 Vulnhub靶機滲透筆記筆記
- Mysql滲透及提權,命令執行MySql
- 滲透之——資料庫提權資料庫
- 【HTB系列】靶機Chaos的滲透測試詳解
- 【HTB系列】 靶機Swagshop的滲透測試詳解
- 【HTB系列】靶機Irked的滲透測試詳解
- 【HTB系列】靶機Access的滲透測試詳解
- 內網滲透之——mssql資料庫提權之——xp_cmdshell執行系統命令內網SQL資料庫
- DC-4-teehee提權
- Raven 2 靶機滲透
- 滲透測試之nmap
- Vulnhub靶機系列之Acid
- metasploit滲透測試筆記(內網滲透篇)筆記內網
- 一些免費好用的靶機滲透測試環境
- kali滲透綜合靶機(十)--Raven靶機
- kali滲透綜合靶機(九)--Typhoon靶機
- kali滲透綜合靶機(六)--FristiLeaks靶機
- APP滲透測試基本內容與漏洞掃描介紹APP
- 內網滲透測試基礎內網
- 滲透測試之域名收集
- 滲透測試-許可權維持
- 紅日靶場(內網滲透)——2內網