正文
kali攻击机地址:192.168.31.188
靶场地址:192.168.31.101
1、端口扫描
在kali里,使用nmap工具:
bash
nmap -sV -v -T4 -A 192.168.31.101
可以看到22和80端口是开放的,尝试访问80端口:
2、目录扫描
使用gobuster工具看下靶场开放了哪些目录。
bash
gobuster dir -u http://192.168.31.101 -w /usr/share/wordlists/dirb/common.txt -x php,htmldir:模式为网站目录文件扫描-u:指定目标站点地址-w:加载爆破字典-x php,html:自动给字典每条路径追加.php、.html后缀,大幅提升扫到 php 、html文件概率
扫到一个index.php,那就一探究竟。
3、LFI(本地文件包含)漏洞利用
感觉是文件包含漏洞,先读取一下有哪些用户:
bash
url=file:///etc/passwd发现/home/welcome目录下有用户名welcome:
再尝试读取公钥:
bash
url=file:///home/welcome/.ssh/authorized_keys
发现提示,告诉我们密钥算法类型为ED25519 椭圆曲线加密:
联想一下,看能不能拿到私钥id_ed25519。因为我们能读取到authorized_keys文件,说明 welcome 用户的 .ssh 目录下,极大概率存放着生成这条公钥的原始私钥,路径为:
bash
/home/welcome/.ssh/id_ed25519
拿到密钥:
4、利用私钥和用户名实现SSH免密登录
粘贴到记事本里,重命名为id_rsa,并赋600权限:
使用用户名welcome,拿着私钥登录:
sudo -l 查看可执行的权限,执行命令:
bash
sudo /usr/bin/elinks
发现按esc键能发现菜单:
最后轻松拿下:
