先用arp命令扫描同一网段得到靶机ip为192.168.1.146
用nmap扫描靶机得到3个开放的端口
通过dirb扫描发现192.168.1.146:80端口没有重要信息
通过dirb发现31337端口存在信息
通过排除前3个没有发现有用信息
在robots.txt中发现/taxes
在taxes中发现flag1
回到.ssh中
先把这3个文件下载下来
在id_rsa.pub和authorized_key中发现ssh用户名为simon
id_rsa为私钥 id_rsa.pub为公钥
ssh可以用私钥登录
在第一次登录时会提示id_rsa权限不够
使用chomd 600
之后提示要密码短语
可以使用ssh2john.py 这个python脚本处理kali自带
不知道路径的使用指令搜索
之后使用脚本后面白色横线的是id_rsa的路径 >后面为生成文件名
文件已经过脚本处理
再使id_rsa1变成密码短语还要使用john(kali自带)
得到密码短语starwars
ssh成功连接
cd到根目录
ls查看
cd进入root目录
ls查看
发现flag.txt和read_message.c两个文件
ls -alh查看权限
flag.txt没有权限
read_message_.c可以查看
查看read_message.c发现为c语言写的脚本和flag2
使用find命令查找/ 目录下使用权限大于4000
其中的/usr/local/bin/read_message和root下脚本相近查看文件权限
发现可以运行
这里要与前面的脚本比对
查看脚本可知
char buf[20]及限制字符为20个
而且脚本运行时为root权限
成功提权拿到最后的flag3