下載地址:https://www.vulnhub.com/entry/dc-4,313/
主機發現
arp -scan -l
nmap -sP
端口掃描
掃描目錄
嘗試了弱口令和萬能密碼,也沒有什麼用
開始爆破
登錄成功,看樣子像是存在命令執行漏洞
發現可以直接執行命令,直接嘗試反彈shell試試
反彈成功
用python來一個交互shell,便於操作
python -c 'import pty;pty.spawn("/bin/sh")'
切換到home目錄
發現字典文件,複製到本地,然後使用hydra進行爆破
hydra -l jim -P zidian ssh://192.168.44.145
得到密碼,利用xshell進行鏈接
查看jim目錄下的mbox文件,發現是from從root@dc-4發給to jim的一份信
cat mbox
直接去/var/mail下查看郵件內容,這是一封charles給jim的一封郵件,大意就是Charles要去度假了,
老闆讓Charles把密碼給jim,防止出現什麼意外。
直接切換到Charles用戶
su charles
查看權限,發現可以以root權限免密執行/usr/bin/teehee,看看這個文件的幫助,原來可以利用它來向其他文件寫入內容
直接在/etc/passwd中增加一行,用戶名爲“shy014”,uid和gid都爲0,那麼這個用戶就相當說root。之後直接切換到wang這個用戶,得到root權限。
然後重啓一下靶機,獲得root權限,得到flag
嘗試suid提權,發現exim4在使用時具有root權限,它有一個s標誌位,允許其他的非root權限用戶用root權限
來執行該文件
第二種:通過定時任務執行腳本提權:
向/etc/crontab文件中寫入新的定時任務
時間部分全部填寫爲*,這樣默認這個定時任務每分鐘執行一次,可以根據情況自行設定。通過執行的腳本將/bin/sh的權限修改爲4777,這樣就可以在非root用戶下執行它,並且執行期間擁有root權限。
查看exim4的版本,發現命令無效,suid提權失敗。
exim4 --version