写在前面

靶场链接：
https://www.vulnhub.com/entry/dc-4,313/

有些知识点在DC:1中提到，可以翻阅

DC:1

信息收集

常规存活扫描

这里115为攻击机，141为物理机，61为网关。靶机ip为：192.168..201.204

常规端口扫描，一个80，一个22

进入80端口，提示是admin信息系统登录

尝试弱口令，sql注入。输入常规探测语句没有反应，直接重定向回登录窗口，这个点应该不是sql注入

由于网站标题，猜测用户名应该就是admin，进行爆破

设置爆破点，设置好字典，开始

爆破出不少，这个爆破点设置的还是比较简单，happyman，hast，heaven啥的都行

进入后台，是一个执行命令的地方，最容易想到命令注入。

抓包出来，果然可以命令注入

测试其他命令

查找/etc/passwd有三个其他用户，分别是charles，jim，sam

小问题：这里不知道为什么不能直接反弹shell出来，查看回显是对的，求解答

查询三个用户的home目录，查看是否有敏感文件，突破点。查看charles，好像没什么特别的

sam看起来也没什么特别的

jim目录下有一个backups文件夹，还有一些脚本和文件，显然backups代表备份，先查看一下

这里是基础的命令注入，因为上面的ls -al展示下可以看到backups是一个文件夹，所以要先cd进去。查看到一个old-passwords.txt，看起来应该就是突破点了，cat出来看看

打开后是一个类似于密码本的样子，把它保存下来，我们不是登录了后台么？那么这里的密码本还能用于哪里呢？前面还有扫描到的22端口，看来这里就是突破口了

将用户名存在一个文本中，准备爆破

同样存好密码

使用hydra爆破ssh，这个工具非常经典，支持许多的在线协议破解

等待一会，出现爆破结果

使用爆破结果登录

jim jibril04

ssh [email protected] 

查看一下该账户下的其他文件，有一个mbox文件，打开看看，是一封邮件，是由root用户发来的测试邮件

说到邮件，这里要提到linux中的邮件系统

/var目录主要存放的是一些经常变动的文件，如缓存文件、日志文件、程序运行时产生的文件等

• /var/cache：应用程序运行过程中产生的一些缓存
  /var/lib：存放程序执行过程中使用到的一些数据文件、在该目录下各个软件有各自的目录
  /var/lock：某些资源或设备同一时刻只能被一个程序使用或访问，因此在一个程序使用的时候，就为该资源上锁（lock），以防止被其他程序使用，该目录就放置这些相关信息
  /var/log：系统中各种日志文件存放的目录
  /var/mail：放置个人电子邮箱的目录
  /var/spool：该目录通常放置一些队列数据，用完之后一般会被删除
• /var/spool/mail/：放置收到的新邮件 （和/var/mail为链接文件）
  /var/spool/mqueue/：放置暂时未发出的邮件
  /var/spool/cron：放置计划任务数据crontab

或许这里是一个提示，Linux中存放电子邮件的地方，是在/var/mail下。查看到以下邮件，是charles发来的

它说他的密码是这个

^xHhA&hvim0y

继续跟进 charles

查找suid文件，尝试提权（前面在jim账户下同样尝试提权，查找suid文件，但没找到什么有用的东西）

查看sudo list，有一个teehee的东西

查看该命令帮助，这个命令可以写文件

尝试向/etc/passwd文件中写入无密码的admin账户

echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

执行上述命令，查看一下passwd文件，已经写入成功了

登录admin

找到flag文件