DC靶场的下载、安装与访问在上一篇的文章中。
靶场攻略:
1、使用nmap快速扫描的命令:
nmap -sP --min-hostgroup 1024 --min-parallelism 1024 192.168.120.0/24
识别到靶场主机ip
编辑
2.使用命令:
nmap -A -p- -T4 192.168.120.136
探测靶场突破口
编辑
如图,可以看到,开放了80端口-http服务,22端口-ssh服务。
3.访问80端口,寻找进一步突破口。如果直接使用ip访问会跳转到http://dc-4/,而无法正常加载出来。所以需要我们去添加hosts文件,跳转域名来访问靶场ip。
Windows:可以访问本地hosts,打开C:\Windows\System32\drivers\etc,修改hosts文件。
编辑
Linux:在/etc/hosts文件中添加域名。
打开浏览器,访问即可。
编辑
发现登录窗口,使用burpsuite抓包之后进行爆破,得到账号密码为admin:happy
编辑
输入账号密码,登陆成功。
编辑
可以查看到文件
编辑
可以查看到磁盘的大小
编辑
可以查看磁盘使用情况编辑再次使用Burpsuite抓包,通过修改radio参数,可以执行系统命令。
此时radio为ls+l,表示显示当前目录,+表示空格。
编辑
修改radio=cat+/etc/passwd,可以看到当前目录的一些目录。
编辑
如图,我们可以看到这些用户都有一个home家目录,因此我们可以去查看home目录
编辑
radio=ls+-al+/home&submit=Run
编辑
此时,我们可以分别取查看charles用户、jim用户以及sam用户下有没有特殊文件。
通过查找,我们发现在jim用户下的backups文件夹下面有一个old-passwords.bak文件。
编辑
查看这个文件
编辑
使用得到的密码文件,进行爆破,通过使用hydra爆破神器进行爆破
hydra -l jim -P ./1.txt ssh://192.168.120.136 -vV -f -e nsr -t 4
成功爆破出jim的ssh密码为jibril04
编辑
hydra爆破神奇的使用,在之前发布过文章,下面是链接地址。
使用ssh登录靶机,确定爆破密码正确
编辑
通过查看mbox文件,我们可以得知,root给jim发送了一封邮件。
编辑 在/var/mail/jim中,发现一封有charles用户密码的邮件,我们可以得知charles的密码:^xHhA&hvim0y。
编辑
切换到charles用户中
编辑
尝试提权。输入sudo -l,我们可以看到teehee命令,该命令不需要密码就可以运行root权限
编辑
查看命令的使用帮助,查看使用方法
编辑
知道-a参数,可以参数可以写入文件内容
编辑
我们可以创建一个用户,比如ajest
echo "ajest::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
编辑
此时用户创建成功,我们去登录,发现此时是root用户。
编辑
切换到root目录下,可以看到一个flag。
编辑