Vulnhub渗透测试:DC-4

前言

过了许久我终于又写了一篇水文，这个DC-4也没什么技术含量，就当在复习下渗透吧

知识点总结，主要考察了三个知识点：

• 信息收集
• hydra爆破ssh密码
• teehee提权

信息收集

​ 环境搭建我就直接导入到了PD里面，也没有进行网卡的设置，我的主机是都可以进行ping通。环境搭建部分就不再过多阐述。

通过测试发现主机存在192.168.1.0/24的网段，使用nmap进行扫描

nmap -sP 192.168.1.0/24

看到可疑IP地址，进一步查看开启的端口号

nmap 192.168.1.47

开启了80 22端口

看一下80端口的服务

看到是一个登录框，要输入用户名和密码，进行了简单的测试，尝试了一下常见的弱口令，并没有成功，于是就想着去爆破，但是用户名却不知道是哪些，就进行了盲猜，使用burpsuite测试了test test123 admin 成功爆破出admin的密码！

爆破密码

使用burp suite 拦截请求，使用爆破模块，使用我之前的一个密码的字典进行爆破得到密码为happy

爆破过程不在演示！

登录进去后发现了一个command.php然后经过测试发现存在命令执行的漏洞漏洞点如下

发现执行的命令为ls -l burpsuite抓包进行修改命令参数看是否能够成功利用

成功利用查看到了/etc/passwd 的内容，看到最后几行发现home下存在三个目录

存在三个用户分别为

charles  jim  sam

通过命令执行去查看三个目录下的文件，看是否能够搜集到有用信息

经测试发现只在jim文件下有所发现，而且存在一个Old-passwd文件，另外几个文件由于权限问题无法查看

查看backups发现Old-passwd文件

猜测应该可以作为jim密码的爆破字典

WEB端只能收集到这么多的信息！

hydra爆破ssh密码

​ 经过信息收集我们已经知道存在三个用户，但是在其他两个用户文件里并没有发现有用的信息，接下来对jim的密码来进行爆破

将jim写入到一个文件中，这里我命名为dc4user,信息收集阶段发现的Old-passwd文件作为dc4pass。接下来就是用hydra来进行爆破

hydra -L dc4user -P dc4pass 192.168.1.47 ssh

成功得到密码

使用ssh连接服务器

进去之后查看另外两个文件，刚开始我并没有发现mbox文件有什么用，但是又没有什么信息去进行下一步的操作，就想着去提取

使用命令 sudo -l看有什么可以用的,但是这条路也走不通。

Emmmmmm…..然后我就去把mbox的内容去翻译了一下

发现是一个邮件，邮件在服务器的存储位置有下面这些

/var/log/maillog
/var/log/mail
/var/spool/mail
/var/mail

经过测试在/var/mail下发现了信息

得到了charles的密码

我们在jim账户上得到的信息只有这么多，于是切换用户为charles,成功登陆

利用teehee进行提权

我们首先通过sudo -l来查看存在哪些命令可以使用，发现之存在一个teehee

百度查看了下利用teehee提权的方法，这个用户的权限可以对/etc/passwd文件进行修改，我们可以通过teehee命令在/etc/passwd文件下追加一个没有密码的root权限的账户，然后切换到我们所创建的用户从而成功达到提权。

我们前面看到的/etc/passwd文件的内容格式

我们使用命令 echo 'ly0n1::0:0:root:/root:/bin/bash'|sudo teehee -a /etc/passwd

切换到ly0n1的用户，然后就可以查看我们的flag.txt文件