vulnhub-DC4靶场复盘
端口扫描
这个靶机开放80和22端口 没有什么多余信息
web探测
只有一个登录界面 只能爆破 用bp爆破得到admin密码 登入管理员界面
这里的界面可以运行一些shell的指令 猜测在页面的请求包里面有指令 用bp试试
发现果然是 空格用+绕过 现在就把指令变成反弹shell 拿到www的shell
提权
这题提权方式有很多种
1用exim漏洞
步骤和DC8一模一样
2访问不同用户的信息
在home目录下面有三个用户
jim这里有一个只有jim可以读写的文件 肯定有东西 在目录backups下面有一些密码
现在用爆破看看是否能登录jim的ssh
通过hydra成功进入ssh hydra -l jim -P pass.txt ssh://192.168.240.249
登录到jim看到mbox中的内容是一封邮件 但是没有什么有用的信息
到/var/mail路径下 看到有一个jim邮件 里面有另一个用户的密码 登录到charles中 (这里邮件中的C是大写的 但是登录ssh要用小写c不知道为什么)
发现这个用户有一个用root执行teehee的权限
有两种方式用teehee提权 一种是
echo "raaj::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
可以看到teehee可以把一个语句加到某个文件里面 这里是新建了一个用户有了root权限
也可以用teehee把charles变成一个超级用户 写到/etc/sudoers 中
echo "charles ALL=(ALL:ALL) ALL" | sudo teehee -a /etc/sudoers
这里sudo要写在分隔符后面 因为是有root权限执行teehee
用test.sh
刚才jim目录下有一个test.sh 文件 权限是-rwsrwxrwx
SUID (Set User ID):
- 当文件的执行权限中出现
s(在所有者权限位置),表示该文件是设置了 SUID 权限。SUID 权限让用户执行这个文件时,程序以文件所有者的权限运行,而不是以执行它的用户的权限运行。 - 例如,如果文件的所有者是
root,那么无论哪个用户执行该文件,都会以root权限运行它。
所以可以在文件后面加上一句反弹shell 用root身份执行 就可以拿到rootshell