渗透测试

[vulnhub]DC-4/5/6靶机

Posted on 2020-02-07,2 min read

DC-4
开放22,80端口

80端口就一个登陆。

sqlmap跑了下无果。尝试爆破
admin/happy
进入得到一个执行命令的页面

nc反弹下shell

在/home/jim/backups目录得到一个old-passwords.bak
貌似是个字典。用这个字典爆破jim用户

在/var/mail/jim中发现了Charlesd的密码

charlesd用户可以以root用户执行teehee命令
这个命令好像是可以写入文件的。网上找到一个提权方法
echo "charles ALL=(ALL:ALL) ALL" | sudo teehee -a /etc/sudoers
执行完。就能以charles用户sudo su为root用户

DC-5

80端口上有个 web。没啥敏感文件一直没思路。看了writeup
留言会跳转到thankyou.php。这里我以为是注入。sqlmap跑了一下
然后会生成一个随机的字符串

然后file参数。文件包含nginx日志
file又是哪来的。fuzz?
burp发包。URL传入写入日志时会被URL编码

文件包含

这里直接bash -e /bin/bash 反弹shell

找到了个screen提权

下载脚本到靶机上。发现执行不了。

看了下脚本内容。写了两个C语言。GCC编译下。然后执行脚本。
这里我在kali上编译完C程序。然后传到靶机上。将剩下的bash继续上传

DC-6
一个ssh。一个web是wordpress

看见wordpress。。靶机一般就是wordpress用户名。然后爆破密码
ssh连接或者登陆后台找插件exp
这里就直接跳过了。
爆破出了用户名和密码。然后ssh连接不上。
登陆后台

赋值html到web下。修改下exp

反弹shell

在/home/mark/stuff目录。发现了graham的密码

在/home/jens发现一个backup.sh
devs组有写权限。恰好graham就是devs组的用户
sudo可以以root权限执行这个脚本。
我们写入反弹shell的代码。然后通过sudo执行。返回的就是rootshell


可以执行root权限的nmap
写入恶意代码到1.nse
然后nmap执行1.nse

下一篇: [vulnhub]DC-1/DC-2靶机→