Vulnhub dc-4靶机通关

下载地址:https://download.vulnhub.com/dc/DC-4.zip

安装好dc-4靶机

使用局域网查看器扫描到ip地址

 

端口扫描,发现运行了80端口和22端口,22开放ssh服务

 

访问网站,发现只有一个登录界面,目录扫描无果,那就爆破密码,然后发现无密码,随意登录

 

 

来到command.php文件,发现可以执行系统命令,猜测是通过post请求控制执行的系统命令,使用bp抓包

 

如下,radio控制的是所输入的命令

 

通过查找etc/passwd文件,存在4个有权限的用户

Root Charles jim sam

cat+/etc/passwd+|+grep+/bin/bash

 

使用ls -ll命令查看网站根目录的信息,查找敏感信息

 

在home下发现了jim这个用户的文件夹,发现一个sh脚本

 

 

Backups下面有一个备份文件,看名字应该知道可能是存放的密码,查看备份文件,得到密码,吧密码做成一个字典,去爆破ssh,4个用户

 

 

 

可以看到jim的密码已经爆破出来,可以通过ssh进行连接了

 

 

 

然后在var/mail目录下发现了jim的邮件信息,里面给出了charles的密码,这个权限可能要比jim高

 

 

 

Su Charles进入,尝试suid提权

find / -perm -u=s -type f 2>/dev/null

可以看到有sudo权限

 

Sudo -l查看当前的权限,但是不知道teehee是什么,查看帮助,-a 可以写入文件内容并不覆盖文件原有内容。然后百度teehee提权

使用teehee命令可以写入文件内容并不覆盖文件原有内容

使用teehee命令将一个无密码用户admin写入到/etc/passwd文件,并加入到root组中

 

echo “admin::0:0:::/bin/bash” | sudo teehee -a /etc/passwd

去root目录下,查看flag

 

版权声明:本文为nanamiblog原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/nanamiblog/p/14480434.html