用户
搜索
  • TA的每日心情
    奋斗
    2020-8-21 21:32
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]初来乍到

    i春秋-脚本小子

    Rank: 2

    4

    主题

    10

    帖子

    86

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2019-9-30
    发表于 2020-8-18 16:30:21 22424
    本帖最后由 GKKB 于 2020-8-24 16:54 编辑

    首先-探测靶机IP
       arp-scan -l   或者  netdiscover
                 1.png
         经过arp-scan与netdiscover对网络的探测发现靶机IP:192.168.2.127

    信息收集
    • NMAP进行端口服务版本信息的收集

                 2.png
    • 发现有rpcbind,apache,OpenSSH服务,robots.txt等信息
    • 使用searchsploit搜索是否有相关的漏洞利用代码

                 3.png
    • dirb扫描目录文件

                 4.png
    • http://192.168.2.127/robots.txt下的都是迷惑文件
    • http://192.168.2.127/icons/VDSoyuAXiO.txt打开该文件发现是一个私钥,我们将其保存下来,在重命名为id_rsa

                 5.png
    • 再回到192.168.2.127/index.html发现页面泄漏了电话,邮箱,用户

                 6.png
    • 信息收集结束我们获得了:
                 怀疑是用户名/密码:Martin:N,Hadi:M,Jimmy:S
                 邮  箱: [email]martin@secretsec.com[/email]
                 电  话:052-452-990-054
    • 我们尝试利用我们获取到的信息来进行ssh登陆

                   7.png
    • 经过多次测试用户:martin,密码: 随便输入 ----登陆成功
    • 我们来到home目录下发现三个目录也就是上面三个用户目录,hadi没有什么可利用的文件,jimey权限不够      进不去,martin是个空目录

                   8.png
    提权
    • /etc/crontab   这是一个系统定期执行的任务文件
    • 我们来查看一下cat   /etc/crontab

                   9.png
    • 发现了一个sekurit.py,当时我们去tmp看时该文件时不存在的,所以需要我们自己写一个py的反弹shell,但是 wget,vim这些都没用无法写和拿,但是linux中还有一个编辑器nano

                   10.png
    • 并且要将文件名命名为sekurity.py,然后等5分钟就能拿到shell

                   11.png
                     但是还是没拿flag,接下来只能爆破hadi了
                   12.png
                       生成一个密码字典,然后使用hydra进行爆破
    • hydra-l hadi -P hadipasswd.txt 192.168.2.127 ssh -v -f

                    13.png
    • 通过暴力枚举后,得到 hadi 的密码是 hadi123!

                    14.png
    • 尝试是否能 切换 root 用户,密码为 hadi123:

                    15.png

    这个网上写的挺多的了
    使用道具 举报 回复
    发表于 2020-8-20 11:23:30
    表哥的字体够大!
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册