DC-4靶机摸索

1. 使用nmap扫描当前网段确认IP
   
2. 存在80端口，使用浏览器访问WEB页面，有一个登录页面
   
3. 使用御剑扫描目录，没发现什么有用的目录
   
4. 插件也没显示什么有用的信息
   
5. 但是我用Edge打开了这个网页，发现Firefox的wappalyzer插件和Edge显示的信息不一样，Edge中显示这个网页是JoomlaCMS
   
6. 尝试登录，抓包爆破密码，发现登录密码admin/happy
   
   
7. 使用爆破获得的密码登录系统，进去发现存在命令执行的页面，这也太爽了，一步到位
   
8. 打开这个Command页面，可以执行一些简单的命令，用burp抓包直接修改命令
   
   
9. 先看看权限大小，只是个普通的www权限
   
10. 这也看也挺不方便的，得想办法反弹shell
11. 在目录里翻来翻去，发现了python环境
    
12. 尝试用python反弹shell，但是并没有成功
    
13. 尝试php反弹，也没有成功
    
14. 重新搜索了一会，发现这个系统里有NC
    
15. 用NC反弹shell，成功
    
16. 在/home目录下发现3个用户名，在jim目录下发现备份的老密码，复制出来，爆破jim的密码
    
17. 成功爆破处jim的密码jibril04，直接SSH登录
    
    
18. 发现登录提示有一个mail，先不管，查看一下能不能SUID提权，但是不行
    
19. 用sudo -l查看
    
20. 那找一下这个mail吧，用find / -name mail找到了这个mail，在var/mai/jim
    
21. 查看jim这个文件，发现charles的密码^xHhA&hvim0y
    
22. 使用刚才获得的密码登录SSH
    
23. 看看这个用户能不能SUID提权，也不行
    
24. 执行sudo -l查看charles可以执行的sudo程序，发现teehee可以以root用户免密执行
    

25. 使用teehee --help命令查看teehee的帮助文件，有6个命令可以使用，并且teehee和tee命令是一个东西

    

    • tee命令用法

    • tee作用

    • 读取标准输入的数据，将输入的数据输出到标准输出设备，并将其内容输出成文件

    • 参数

    • -a将输入的数据附加到已经存在的文件后面(不是覆盖)(覆盖可以不添加参数直接跟文件名，例tee file1)
    • -i忽略中断信号
    • -p诊断非管道的写入错误
    • --help帮助
    • --version查看版本信息
    • --output-error[=mode]设置错误等级(默认为warn-nopipe)
    • • warn诊断任何写入错误
    • • warn-nopipe诊断除管道外的写入错误
    • • exit写入出错时退出
    • • exit-nopipe除管道外写入出错退出
26. 因为使用teehee命令是不需要输密码并且是root权限，我们可以考虑给/etc/passwd中写入一个新的root权限信息，具体写法详见其他文章
27. 使用echo "xdym::0:0:::/bin/bash" | sudo teehee -a /etc/passwd命令添加拥有root权限的xdym用户(这里犯了一个小错误，没有写管道符，导致一直写入不到/etc/passwd)
    
28. 在root目录下可以看到flag.txt，通关
    

《DC-4靶机摸索》链接：https://xdym11235.com/archives/57.html
具体版权规定详见侧栏版权说明页面