ダウンロードリンク:https://www.vulnhub.com/entry/dc-4,313/
ホストの発見
arp -scan -l
nmap -sP
ポートスキャン
スキャンディレクトリ
弱いパスワードとユニバーサルパスワードを試しましたが、何も機能しませんでした
ブラストを開始します
ログインに成功しました。コマンド実行の脆弱性があるようです
コマンドを直接実行できることがわかりました。リバースシェルを直接試してください
成功したリバウンド
操作を簡単にするためのインタラクティブシェルとしてpythonを使用する
python -c'import pty; pty.spawn( "/ bin / sh") '
ホームディレクトリに切り替える
辞書ファイルを見つけてローカルにコピーし、ハイドラを使用して爆破します
hydra -l jim -P zidian ssh://192.168.44.145
パスワードを取得し、xshellを使用してリンクします
jimディレクトリのmboxファイルを確認し、root @ dc-4からjimへの文字であることを確認します。
猫のmbox
/ var / mailに直接アクセスして、メールの内容を確認します。これは、チャールズが休暇をとっているという趣旨の、チャールズからジムへのメールです。
上司はチャールズに事故を防ぐためにジムにパスワードを与えるように頼んだ。
Charlesユーザーに直接切り替えます
彼のチャールズ
権限を確認し、シークレットなしでroot権限で/ usr / bin / teeheeを実行できることを確認します。このファイルのヘルプを参照してください。これを使用して、他のファイルに書き込むことができます。
/ etc / passwdに直接行を追加します。ユーザー名は「shy014」、uidとgidは両方とも0です。このユーザーは、rootと言っています。次に、ユーザーwangに直接切り替えて、root権限を取得します。
次に、ターゲットマシンを再起動し、root権限を取得し、フラグを取得します
suid特権をエスカレーションしてみると、exim4を使用するとroot特権があることがわかりました。これには、sフラグビットがあり、他の非root特権ユーザーがroot特権を使用できるようになっています。
ファイルを実行するには
2番目のタイプ:スクリプトを実行して、時限タスクを通じて権利を引き上げます。
/ etc / crontabファイルに新しいタイミングタスクを書き込みます
時間部分はすべて*として入力されるため、この時間指定タスクはデフォルトで1分ごとに実行され、状況に応じて設定できます。実行されたスクリプトを使用して/ bin / shの権限を4777に変更します。これにより、root以外のユーザーで実行でき、実行中にroot権限を持つことができます。
exim4のバージョンを確認し、コマンドが無効であり、suid特権のエスカレーションが失敗したことを確認しました。
exim4 --version