1、arp-scan -l 發現目標主機
2、nmap -sS -Pn -A -p- -n 192.168.168.200 掃描目標主機
開放端口:80、22ssh(可以考慮ssh爆破)
3、訪問一下ip,得到一個登錄頁面,的都是
4、考慮一下ssh爆破
隨便提交一組用戶名、密碼,url爲192.168.168.200/login.php
九頭蛇爆破用戶admin 密碼happy
5、嘗試登錄一下,發現可以執行命令
6、抓個包看一哈子
導入到Repeater模塊,寫入反彈shell
7、kali開啓監聽
8、開啓一個交互式界面
python -c 'import pty;pty.spawn("/bin/bash")'
9、查看家目錄
10、切換到用戶jim,找到一份密碼備份文件
11、生成密碼字典dc4-password.txt,進行SSH爆破
爆破出用戶名jim,密碼jibril04
12、ssh遠程登錄用戶jim
查看一下郵件cd /var/mail
ls
發現新用戶Charles,密碼^xHhA&hvim0y
13、切換到用戶charles
sudo -l 查看一下,發現teehee是root權限,且不需要密碼
14、寫入任務計劃,提權
查看一下teehee的用法,發現可以寫入
分 時 日 月 星期 MAILTO 命令 腳本路徑
MAILTO變量指定了crond的任務執行信息將通過電子郵件發送給root用戶,如果MAILTO變量的值爲空,則表示不發送任務執行信息給用戶
15、或者使用teehee加入新用戶,將其uid,gid值爲0,即root權限寫入/etc/passwd,覆蓋原來的root用戶