2.ssh的root提权
nmap -A -T4 -O 10.10.10.5
挖掘敏感信息:
dirb
查看每个扫描到的web应用目录,第一次就是没注意icons目录:教训
其实就在icons目录下,有个怪异文件
找到怪异文件,VDdasdsafqebferq12312423146509765.txt>id_rsa
通过ssh2john转换后,准备用John破解,发现提示ssh没有密码!!!!
通过网站联系方式,猜测用户名,登录
小结:只要能找到ssh私钥,进入是不成问题的!!!!
深入挖掘
查看/etc/passwd /etc/crontab发现用户名,进行渗透
找到定时任务,进行代码反射-------难点:socket编程、 import pty
在攻击机上:
nc -lvp 4444 开启监听,等待靶机上的定时任务sekurity.py执行
这里主要讲的是一种反射思路,在本例中,martin、jimmy用户是不能用这些用户提升权限的。
只能考虑最后一个用户hadi了,暴力破解
git clone common_password.git
利用里面的cupp.py生成只能密码字典
破解出来的密码是hadi123
利用su - root
尝试root登录