靶机渗透之Nyx: 1

• Name: Nyx: 1
• Date release: 15 Aug 2020
• Author: 0xatom
• Series: Nyx
• Download: https://mega.nz/file/guBFQYpT#ouUXdG795C2ZJ1aCgbQm76MiYYjTJIGigjjBq0YXaJY

 对于vulnhub中的靶机，我们都需先下载镜像，然后导入VM，并将网络连接改为NAT模式。首先我们再来看一下靶机渗透的步骤：信息收集-漏洞分析-漏洞利用-提权。基本都是这个三个步骤，接下来开始我们今天的靶机渗透吧！ 

信息收集

主机发现

 

端口扫描

发现开放端口22，80.

针对UDP服务进行扫描

结合端口扫描，知道开放端口有22，80.对应服务分别位ssh,http。对于ssh服务可以实现远程登陆。我先使用超级弱口令检查工具试一下，看能否爆破出来。结果显示不能。

目录扫描

都显示没有权限访问此站 ！！

再使用御剑扫描试一下

扫出来有index.html   key.php。一会进行漏洞分析的时候看一下。

漏洞扫描

并未发现常见漏洞。

但是遗漏一个信息，他给爆出来了一个目录/d41d8cd98f00b204e9800998ecf8427e.php。当时没注意，最后走投无路返回来才发现。

漏洞分析

打开页面看看

查看页面源代码

翻译过来是：不要把时间浪费在源代码/robots.txt等上，专注于真实的东西

那就打开这个文件看看

还真啥也找不到

在目录扫描时发现一文件key.php

密码去哪里找呢？

抓包看一下

使用hydra工具爆破

hydra -L /home/kali/Desktop/管理员用户名.txt -P /home/kali/Desktop/管理员密码.txt 192.168.11.134 ssh

最后太长时间也没爆出来，这个和那个超级弱口令检查工具一样的道理。反正就是啥也没有爆出来。

在这里断了。回看前面搜集信息部分，看看是否遗漏一些重要信息。还真有，遗漏了一个重要的目录！！

/d41d8cd98f00b204e9800998ecf8427e.php

打开看看

那这很可能就是ssh的私钥呀？至于是谁的私钥呢？注意看网页标题名称，mpampis key，那说不定就是mpampis的私钥。 当然，也可以看这个私钥最后的==判断是base64编码的形式，找个工具Base64解码一下也能看到mpampis字符串：

进行base64解码，可以看到有用户mpampis.猜测是用户名。

尝试一下，把密钥复制到kali中，使用ssh服务进行登陆一下，

 注意既然是私钥，那么肯定具有保密性，因此权限必须保证只有所有者能够拥有读（写）权限，否则无法利用私钥登录。因此我们修改这个私钥的权限为600（或400）：

 然后尝试用登录mpampis的ssh，如下：

登陆成功，是密钥。看到有一个文件，打开看看          

发现第一个flag.

接下来进行提权

提权

sudo -l命令用于列出当前用户在特定主机上可以以超级用户（root）身份运行的命令和权限。

以下是对扫描结果解释

在GTFOBins找一下发现这个

尝试一下，看是否能够提权成功。

再来看看这段代码的意思：

这是一个使用sudo命令以root权限运行gcc编译器的命令，并通过-wrapper选项指定了一个包装器（wrapper）。包装器是一个用于修改或扩展命令行行为的特殊程序。

在这个命令中，包装器是/bin/bash，并使用-s选项来启动交互式的Bash shell。.表示当前目录作为参数传递给包装器。

这个命令的效果是使用gcc编译器以root权限启动一个交互式的Bash shell，并将当前目录设置为工作目录。

提权成功！！切换到root目录下，发现一个文件。打开看看啥也没有。靶场到此就打完了！

 

总结与反思 

这个靶场相对容易，没有利用什么漏洞，就仅仅是使用ssh服务进行靶机渗透的。但是在这个渗透过程中走了弯路，一直在死磕key,使用bp抓包爆破，还使用超级弱口令检查工具，还有hydra工具，最后都没出来。然后又回去看信息收集部分，找到了遗漏的信息，也就是找到了一个目录，最后通过这个目录找到了私钥，进而赋权，登录用户。最后提权部分是在一个网站GTFOBins搜索到gcc利用方法，进而提权。总之这个不难，主要是容易走弯路，所以在日后靶机渗透过程中需要细心，不能遗漏任何信息。总之还需要多加实练，积累经验！也希望通过靶机渗透来积累经验！追光的人也终会光芒万丈！