就冲这名字今天也得拿下!
目录
信息搜集
扫描网段
?扫描IP地址
?好? ?http? ?ssh? 两个服务全是重灾区
浏览器查看网站
好嘛 这提示直接怼脸上了都??
查看源代码(view the source)
?根据提示到该目录下查看
?好像就是介绍几种扫描方式
查看该页面的源码
?你是不是觉得你很幽默? ? 嗯?
使用提示的nikto工具扫描网站
nikto简介
????????Nikto 是一款开放源代码的、功能强大的 WEB 扫描评估软件,能对 web 服务器多种安全项目进行测试的扫描软件,去寻找已知有名的漏洞,能在230多种服务器上扫描出2600多种有潜在危险的文件、CGI 及其他问题,它可以扫描指定主机的 WEB 类型、主机名、特定目录、COOKIE、特定 CGI 漏洞、返回主机允许的 http 模式等等。
????????它也使用 LibWhiske 库,但通常比 Whisker 更新的更为频繁。Nikto 是网管安全人员必备的 WEB 审计工具之一。
????????Nikto 是 perl 语言开发的,其特点扫描全面,速度快。
常用参数
-upodate ? ? ? ? ? ? ? ? ? ? ? ? 升级,更新插件
-host ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 扫描目标URl
-id username:password ?http认证接口
-list-plugins ? ? ? ? ? ? ? ? ? ? 列出所有可用的插件
-evasion ? ? ? ? ? ? ? ? ? ? ? ? ?IDS/IPS逃避技术(实例演示里有详细信息)
-port ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?指定端口(默认80)
?-ssl ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 使用SSL
-useproxy ? ? ? ? ? ? ? ? ? ? ? 使用http代理
-vhost ?域名 ? ? ? ? ? ? ? ? ? ?当一个IP拥有多个网站时 使用
扫描网站
?查看扫描出的目录
?
?这人真有意思嗷
鉴于我不是很了解nikto所以用常用的扫描工具再跑一次
查看readme.txt文件
?
?
emmm? ?换思路
发现漏洞
没啥好说的按照他给的思路走
爬取网站敏感信息
cewl http://192.168.179.155/johnnyrambo/ > /tmp/user.txt
##
将爬取的敏感信息导入到/tmp/user.txt文件
在使用该文件爆破之前需要将该文件内的第一行删除,第一行是一个网址
?爆破ssh
hydra -l johnny -P user.txt -vV ssh://192.168.179.155:60022
#####
-l:用户名
-P:密码字典
我知道这个时候肯定有人会问,那你怎么知道johnny是用户名啊?其实很简单啊,我试出来的。一开始是用user.txt字典一起跑用户名和密码。结果没有跑出来,然后想到了这个界面
然后使用JohnnyRambo当用户名(中间不能有空格就放一起跑),结果还跑不出,那就分开跑以Johnny和Rambo分别去跑,还是不行最后把他们都转化为小写再来一遍这才跑出来的
有时候跑字典就是这样,就要从各种方向换着去尝试
用户名:johnny
密码:Vietnam
?
?登录ssh
ssh johnny@192.168.179.155 -p 60022
yes
Vietnam
?提权
查看该文件夹下的文件,发现也有一个README.txt文件,但是查看过之后发现与网站中的README.txt文件内容并不一样
?按照提示的命令执行
cat /etc/nginx/sites-enabled/default
cat /etc/nginx/sites-enabled/default | grep -v "#"
?
?后面有一行 root /var/www/html 全是敏感字符,到该web目录下查看
发现并.txt文件
其实这个文件我们一开始的时候就扫出来了。那时候大概看了看是一些查找文件命令的提示,那时候觉得没啥用因为还没拿到shell,就先放下了,
?查看文件并依次执行提示的命令
到这个时候就大概理解作者的一片苦心了,都是在txt文件中给出下个阶段的线索,并且都是把命令直接给出来可以说对像我这样的小白来说非常友好了。用心了?
?发现blood用户的账号密码
下面那两个README.txt我们都查看过了,所以直接查看第一个文件
cat /opt/README.txt
###
username:blood
password:HackThePlanet2020!!?
?登录blood用户并查看该用户下的txt文件
su blood
HackThePlanet2020!!
cd /home/blood
cat README.txt
?根据提示回到/home目录
发现有四个用户
?尝试进入别的用户目录
?
?sly进去了并发现了两个txt文件
查看txt文件
README.txt文件没有权限但是README_FIRST.txt文件却打开了
?这次给出我们的提示是sudo -l 提权
发现另一用户的密码
sudo -u sly cat /home/sly/README.txt
?直接执行没有权限? 且后面跟文件的时候必须是绝对路径即使你在该文件目录下也不行(问就是试过了)
尝试登录用户
因为没有用户名所以我们需要去试一下看是哪个用户的密码,不过好在我们已经知道了有哪些用户的
blood #正在登录
firstblood #尚未登录
johnny #已登录过
sly #尚未登录
到这一步就没什么好查看的了,该用户目录下的两个txt文件也已经被我们查看过了
所以就可以尝试直接提权了
?果然啊? 每个用户的权限都不一样,同样的命令不同的结果
ftp提权
在GTFOBins网站查询ftp提权方式
?
?
?一共两种我们可以挨个试
这第一种明显就失败了
sudo ftp
SylvesterStalone
!/bin/sh
id
cd /root
cat README.txt?
?总结
看来这个首杀也没有想象中那么容易啊,一开始还觉得挺简单的,因为提示很明显嘛。但是后面各个用户的权限那块确实把我给绕晕了,但是现在想确实很有意思,这个靶机说实话真的不难但是需要你细心一点去认真的找线索,要不然就会在一些没有意义的地方浪费时间。该靶场生动形象的解释了什么是渗透测试的本质实际上就是信息搜集。最后非常感谢作者大大,为我们写出这么有意思的靶机,做的过程中非常能感受到作者的用心。