打开靶机

我们先查看页面源代码，发现什么也没有

再去用nmap扫描

nmap -sV -p- 192.168.95.144

发现也没什么用

我们在用dirb扫一下

dirb http://192.168.95.144

我们发现了robots.txt并且响应码是200，去访问一下

又得到了一个目录，去访问一下

到这里404就蒙了，去网上搜了一下，用wfuzz工具输入下面这条命令

wfuzz -c -z file,/usr/share/wordlists/wfuzz/general/common.txt --hc 403,404 http://192.168.95.144/~FUZZ

在旧版本的Apache服务器中，~ 指代用户主目录，我们可以尝试找到与此相似的路径，这种时候就用到wfuzz了

payload下有一个secret，去访问一下这个目录

我们发现了一段话，大概说的是这是一个秘密目录，这里有他隐藏起来的ssh私钥文件，我们又得知了用户名是icex64，继续在这个路径在搜索文件

wfuzz -c -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt  --hc 404,403 -u http://192.168.95.144/~secret/.FUZZ.txt

这里已经跑出来了一个文件，我们去访问一下，先访问了mysecret页面显示not found，又去找攻略，结果是个隐藏文件访问.mysecret.txt

复制下来去解码（base58（网上搜的））

把解码后的内容复制下来去创建一个文件key

复制进去保存

利用john工具破解密码

先使用ssh2john工具转化为john可破解的格式：

/usr/share/john/ssh2john.py key > hash

再使用john破解hash：

john hash --wordlist=/usr/share/wordlists/fasttrack.txt

密码为P@55w0rd!

然后将key文件权限设为600（否则无法连接），然后利用ssh连接icex64用户

chmod 600 key
ssh icex64@192.168.95.144 -i key