一、靶机配置
1、靶机下载地址
https://download.vulnhub.com/basicpentesting/basic_pentesting_2.tar.gz
2、配置靶机网卡
3、扫描同网段靶机IP
得到开发了22、80、139、445、8009、8080等端口
4、对靶机进行服务、端口主机探测
nmap -sS -sV -A -p- 192.168.31.148
二、web渗透测试
1、访问靶机IP80端口
没有可利用信息
2、对靶机进行目录扫描
dirsearch -u http://192.168.31.148
3、拼接访问
查看文件内容
根据提示J用户一直在审核 /etc/shadow 的内容
K用户的密码是弱口令
4、靶机开放了445端口,可以使用enum4linux工具枚举smb服务的信息
enum4linux -a -o 192.168.31.148
发现了俩个用户信息
5、根据之前的提示,使用hydra工具爆破jan用户的ssh密码
hydra -l jan -P /usr/share/wordlists/rockyou.txt ssh://192.168.31.148:22 -t 64
成功爆破出来jan的密码
6、进行ssh远程连接
ssh jan@192.168.31.148
连接成功
三、提权
1、查看sudo -l、查找suid权限文件未能发现
2、查一查用户下的文件,发现/home/kay/
目录存在pass.bak
文件,但目前我们没有访问权限;发现可以访问kay用户的ssh私钥文件
3、我们可以把密钥复制下来
可以将1.txt创建到ssh2hohn.py文件的目录下
ssh2hohn.py目录在 /usr/share/john
4、然后使用john破解
john --wordlist=/usr/share/wordlists/rockyou1.txt ssh_login 破解
成功获取key密码
给1.txt文件获取权限
chmod 777 1.txt
5、连接key用户
连接成功
6、查看pass.bak文件
这个可能是用户kay密码
7、输入sudo -l 发现是所有用户都可执行,直接sudo su
提权成功!!!