vulnhub靶场，DC

vulnhub靶场，DC

vulnhub靶场，DC-4

环境准备

靶机下载地址：,313/
攻击机：kali（192.168.58.130）
靶机：DC-4（192.168.58.147）
下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境，启动即可，将网段设置为NAT模式

信息收集

使用arp-scan确定目标靶机

确定目标靶机IP为192.168.58.147
使用nmap扫描查看目标靶机端口开放情况

开放端口：22、80
浏览器访问目标靶机的80端口

就是一个登入页面，不知道账号密码，所以没有多大用处
网站目录扫描

也没有啥有用的信息

渗透过程

前面信息收集发现没有什么可以利用的地方，那只能尝试使用暴力破解了
，网站登入页面，账号输入admin（不一定为admin，一种直觉），密码就随便输，我这里输入的111，然后使用burpsuite抓包

将抓到的包发送到Intruder模块，只对密码进行破解

导入字典（字典可以在GitHub上面搜，有很多）

点击Start attack开始爆破，根据happy的长度不一样得到账号密码：admin:happy

使用admin:happy登入web网站

成功登入，点击command

发现有三个选择，点击run运行看看

发现列出了一些文件，说明上面那三个按钮是来执行一些命令的，这里也猜想应该能执行别的命令，使用burpsuite抓包看看

跟我的猜测一样，运行代码就是ls+l，所以这里我们试着改成别的命令看能不能执行

这里发现输入的命令执行了，所以这里就相当于得到了一个命令行，但是这里用的有点麻烦，所以使用nc反弹一个shell
kali终端：

DC-4：

可以看到kali这边成功获得一个shell

切换到home目录，发现有三个用户

发现只有jim用户下面是有东西的

发现jim用户下的文件test.sh，查看其内容

翻译结果大概意思是说bash很好，但我宁愿用头去撞墙，可能是提醒我们需要暴力破解
进入backups目录，发现下面确实存在一本密码本，查看其内容发现为一些字典

将这本自字典内容拷到kali攻击机上，然后将三个用户放在一个文件里


使用hydra进行爆破

hydra - -P old-passwords.bak -V 192.168.58.147 ssh 

成功获得jim用户的密码，使用jim用户去进行ssh远程连接

查看当前目录，发现一个文件mbox，查看其内容

进入邮件目录看看

里面有一封邮件，查看文件内容

发现是charles用户给jim用户写的信，信的内容含有charles用户的密码
使用su命令切换到charles用户

权限提升

使用sudo命令查看charles用户可以哪些具有root权限的命令，发现可以使用teehee命令

网上查找资料可知teehee命令可以写入文件内容并不覆盖文件原有内容
查看teehee命令帮助

使用teehee命令将一个无密码用户icepeak写入到/etc/passwd文件，并加入到root组中

echo "icepeak::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

使用su命令切换到icepeak用户

切换到根目录，查看当前路径下的文件，成功获取falg，DC-4靶机渗透结束