信息收集
使用arp-scan生成网络接口地址,查看ip
输入命令:
sudo arp-scan -l
nmap扫描端口开放
TCP
输入命令:
nmap -min-rate 10000 -p- 192.168.187.179
可以看到只开放2个端口
UDP
输入命令:
sudo nmap -sU -min-rate 10000 -p- 192.168.187.179
这边没有发现udp端口
nmap扫描端口信息
输入命令:
nmap -sC -sT -A -p 22,80 192.168.187.179
nmap漏洞脚本扫描
输入命令:
nmap --script=vuln -p 22,80 192.168.187.179
这边没有发现什么可以利用的漏洞,但是发现了一个奇怪的目录,等下去查看一下
查看web端
这页面还挺黑的
查看页面源代码
这里看到了提示信息
我们翻译下看看,算指示了一些方向吧
目录爆破
输入命令:
dirsearch -u http://192.168.187.179
这边没有发现目录
输入命令:
gobuster dir -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x html,php,txt -u 192.168.187.179 -t 50
这边发现了一个key.php文件,等下去看看
查看目录
这边发现了一个输入框,显示是让我们输入密钥,但是我们暂时没有,先记下这里,去查看其他方向
发现ssh私钥
查看之前漏洞扫描枚举出的目录,发现了ssh私钥,而且从这个页面的标题可以看到mpampis key的字样,猜测是这个用户的私钥密码
对ssh私钥文件赋权
我们将文件保存到本地上,然后将权限调整为600,这样保持私钥的私密性,除了私钥对应的用户有权限外,其他人必须没有任何权限才行
ssh私钥登录
输入命令:
ssh mpampis@192.168.187.179 -i ssh-rsa
发现成功登录
提权
这边发现直接可以使用sudo提权
拿到flag
这边sudo ggc的提权命令可以借鉴一下 GTFObins,不过提权后,flag文件好像是空的,里面没有内容