一、信息收集

靶机基础信息:

开启靶机,看靶机能否正常运行

扫描局域网中的所有设备

获取本kali机的ip

易知,192.168.0.151是目标机,利用nmap扫描该ip:

发现80端口开放,在浏览器中打开

扫描该网站目录

发现无可用信息。

二、进行操作

发现用户名为admin,密码为happy,登录网站

点击Run,将burpsuite拦截到的转发到repeater模块,点击go,发现当radio = ls -l 时,response中会返回各文件或目录的信息。

查看/home目录下,发现有三个用户目录:

查看charles目录发现什么也没有

查看jim目录下的内容,发现backups目录

发现backups目录下有old-passwords.bak文件

获取该文件内容:

将密码保存在一个文件中

将用户名保存在另一个文件中,文件名为dc4user

安装hydra

使用hydra爆破获取用户名和密码:

利用ssh进行远程登陆

发现mbox是一封邮件

test.sh文件中并无有用信息

因此推测mbox邮件成为突破口,切换路径到/var/mail下,发现有一封名叫jim的文件,打开后发现发件人是charles,密码是^xHhA&hvim0y

切换用户到charles下:

发现并不是root用户,于是查看charles用户可以sudo的权限有哪些:

发现有权执行/usr/bin/teehee,利用 teehee提权

sudo teehee -a /etc/passwd
test4::0:0:::/bin/bash 再ctrl + c

切换到test4下,发现是root

三、获取flag

切换到/root 路径下,获取到flag文件

查看文件内容:

结束。

四、总结:

DC-4考察重点:

  1. burpsuite 的使用
  2. hydra 爆破
  3. 邮件存储位置 /var/mail 
  4. 利用teehee提权
相关推荐: 记一次由sql注入到拿下域控的渗透测试实战演练(上)

本次渗透总流程: 1.从一个web页面发现SQL注入并可以通过注入getshell 2.通过对webshell的提权成功拿下服务器管理员权限 3.通过内网穿透成功连接目标服务器的3389远程桌面服务 4.通过在目标服务器上安装并使用nmap完成信息收集,为接下…

最后修改:2021 年 04 月 27 日 06 : 28 PM