nmap

1:查看存活主机ip: nmap -sP 192.168.1.0/24

192.168.1.134 就是刚打开的虚拟机

2:开放端口: nmap -sS 192.168.1.134

  • nmap -sS 192.168.1.134 //检查开启端口信息
  • nmap -sT 192.168.1.134 //检查开启端口信息
  • nmap -sTU 192.168.1.134 -p 22,8928,8906,8907 -Pn //检查指定tcp/udp开启端口信息//-Pn 防ping

22是开着ssh服务,80可以尝试访问web页面


主页除了这段文字就几张图片

dirbuster/dirb

3.扫描目录:

试了这个好像不行或者没用好:dirbuster -u http://192.168.1.134

然而用:dirb http://192.168.1.134
dirb就找到了这个登录页。打开看看需要密码


cewl

4:用cewl提取主页文字生成字典,再用kali工具hydra对其进行爆破

hydra

5:用hydra爆破的用户密码登录刚才找到的登录页

  • 除了一颗返回上一页按钮,没东西了
  • Apache/2.4.29 (Ubuntu) Server at 192.168.1.134 Port 80

百度了一下:webdav说这里是可以读写的!

用cadaver登录webdav,看来应该可以直接上传shell。

shell

后来找了个php的shell,用nc发到虚拟机的.,,上传后去浏览器就可以访问了/



6:但当前用户是www-data,只是普通权限。随便翻翻逛逛–:

home目录下的三个用户,可能是为ssh登陆的用户名;

在inferno用户目录下找到一个user.txt显示Flag: {5f95bf06ce19af69bfa5e53f797ce6e2}

在根目录的mnt目录下找到了hell.sh

关于hell.sh:brainfuck在线解码的网站:各种解码网站

7:解码后得到的chitragupt,就是上一步home目录下inferno用户的ssh登录密码…(百度来的)
所以可以用inferno用户直接登录ssh

然而这并没有root权限:Permission denied

su - root

8:提权(通过修改ssh登陆时的欢迎信息对root密码进行修改)

修改/etc/update- motd.d/00-header

echo "echo 'root:admin' | sudo chpasswd" >> 00-header

要退出一下再重新登陆才可以。


cmd窗口看不清root.txt界面