目录
一.arp-scan进行扫描靶机
其中192.168.28.47为目标靶机
二.端口扫描与脚本扫描
1.使用namp进行端口tcp扫描![](https://i-blog.csdnimg.cn/blog_migrate/0020de9269b7be8a69cef87dd0a45707.png)
2.为了更加全面我们在使用upd扫描![](https://i-blog.csdnimg.cn/blog_migrate/9af03700f3addfd718d70a7a3ed458e3.png)
3.使用nmap默认脚本扫描![](https://i-blog.csdnimg.cn/blog_migrate/ea5e4f0420df296d1ef24905006ef63b.png)
4.分析
由上述扫描得到,目标靶机开放了22与80端口,分别运行的服务是openssh 8.0 与 apache (php 7.4.5),Linux内核可能是3,4或5,脚本扫描没有什么漏洞。由于只开放了两个端口,我们一般优先从80端口开始撕口子,22端口则没有什么办法(字典爆破效率太低且不知道结果)。
四.进行目录爆破![](https://i-blog.csdnimg.cn/blog_migrate/2412406b0d736680214a826f6cd0fab2.png)
这里我使用dirb进行默认字典目录爆破
得到一些令人兴奋的文件:
- http://192.168.28.47/cgi-bin/ (CODE:403|SIZE:4518)
- http://192.168.28.47/index (CODE:200|SIZE:886)
- http://192.168.28.47/index.php (CODE:200|SIZE:886)
- http://192.168.28.47/robots (CODE:200|SIZE:13)
- http://192.168.28.47/robots.txt (CODE:200|SIZE:13)
robots.txt绝对值得我们一看
五.信息汇总
1.主页信息![](https://i-blog.csdnimg.cn/blog_migrate/43a99ef4078247da8a5f721ae925e460.png)
显然在这里除了一些对‘real’的疑问外,还有一张背景图和两个按钮外就没有其他可用信息了,那我们开启burp suite开启抓包
1).按钮的信息
当我们点击按钮后,burpsuite抓包得到这些
可以看出response是有密文的,分别是base64和base62,破译后,第一个是
第二个是
从上述信息可知,一个用户名:morpheus.thematrix
此外他说他设置的密码很简单,那么我们用cewl根据网站生成一个密码典:
2),检查源码
并没有发现令人感兴趣的东西。
2.robotas.txt文件![](https://i-blog.csdnimg.cn/blog_migrate/03ceb6edd048000d0f6174e3a57709a8.png)
好吧,没东西,被嘲讽了。(robots文件也是这样)
五.跟据已有信息采取措施
1).web密码爆破
现在我们有用户名和一个密码典,这里我采取使用burp suite爆破,当然hydra也不错。
(1).intruder配置
a.先把登录包抓到在发送到intruder模块![](https://i-blog.csdnimg.cn/blog_migrate/4c4daac78a59cea340f7c29b77ea09a4.png)
b.payloads配置
在payload setting【simple list】load我们的passwd字典
c.resource pool配置
这个设置是用来配置每秒发包和延时发包的,那我配置每秒发包100(最大999),不延时。
d.开始爆破
点击右上方红色按钮 start attack
e.得到密码![](https://i-blog.csdnimg.cn/blog_migrate/10f6ce387342022726cf4a61e033af17.png)
密码:interpreted
六.查看网站![](https://i-blog.csdnimg.cn/blog_migrate/9cf4a98ad55f1f291884230b22760c1b.png)
仔细研究,我们发现右上角有private key,欧克,那么我们可以用ssh私匙登录了。我把它复制下来,放在idrsa 。
这里要注意ssh私匙格式,如果只复制了不行还要添加这些
咱们用base64解码
发现用户是w.rabbit.
其实网址那有,但是你要有这个意识。
上面-----BEGIN OPENSHH PRIVATE KEY-----
下面-----END OPENSSH PRIVATE KEY-----
权限也只能设置为700,本用户使用,不然也会报错,权限过大。
七.ssh 登录
使用如下命令:ssh
w.rabbit@192.168.28.47 -i id_rsa
八.capture falg
查看当前目录下有啥,发现waring.txt
直接告诉我们flag在dozer用户目录下,
尝试cd /home/dozer
,发现没有权限。
回到 / 下,尝试sudo -l
看有没有sudo提权,结果是需要密码,只能先放下。在尝试find / -perm -u=s -type f 2>/dev/null
,看有没有suid提权,结果
底下的/opt/script/testnet
引起我的注意,但是用查看权限是744,里面的内容也没有重要内容,只好作罢。
那么我进入/var 目录下。看看有没有有用的信息,发现了mail
我们得到了w.rabbit的密码。
在尝试sudo -l
,输入密码,发现
我们可以一dozer的身份执行,/bin/cp,熟悉 cp命令的应该知道--no-preserve这个参数,这里不做过多解释,可自行百度。那么我们执行sudo -u dozer /bin/cp --no-preserve=all /home/dozer/flag.txt /tmp/flag.txt
拿到flag。