一、主机发现

arp-scan -l

靶机ip为192.168.55.147

二、端口扫描、目录枚举、漏洞扫描、指纹识别

2.1端口扫描

nmap --min-rate 10000 -p- 192.168.55.147

发现存在21这一特殊端口，开放了ftp服务

UDP端口扫描

nmap -sU --min-rate 10000 -p- 192.168.55.147

靶机没有开放UDP端口

2.2目录枚举

dirb http://192.168.55.147

找到http://192.168.55.147/w/可疑路径

2.3漏洞扫描

nmap --script=vuln -p22,80,6667 192.168.55.147

该网站没有常见漏洞

2.4指纹识别

nmap 192.168.55.147 -sV -sC -O --version-all

发现ftp服务没有匿名登陆方式

三、进入靶机网站寻找信息，拿到低权限账号密码

3.1进入ftp服务

进入靶机网站，发现是一张图片

看不太懂这种图片，访问http://192.168.55.147/w/路径查看信息

这个路径下一直点击，最后一个文件夹反复退出进入，发现内容不一样

检查源代码发现只有一句话，url也没有跳转，说明页面存在文本文件或者静态页面能够去调用

尝试寻找该文件

dirb http://192.168.55.147/w/h/i/s/p/e/r/the_abyss/  -X .txt .img .html

成功找到该文件

进入文件之后发现也只有文本，没有其它信息

将这些名字收集作为ftp的账号，发现都需要密码，且找不到密码

看到文本中的knock，想到有没有可能是端口敲门，然后开放一个新端口存在漏洞

在http://192.168.55.147/w/h/i/s/p/e/r/the_abyss/random.txt页面刷新，然后使用wireshark抓包查看信息

尝试以77，101，108，111，110，54，57顺序敲击端口

knock -v 192.168.55.147 77 101 108 108 111 110 54 57
nmap --min-rate 10000 -p- 192.168.55.147  

发现没有开放新端口

猜测这些数字是ASCII码

77 101 108 108 111 110 54 57分别对应M e l l o n 6 9

Mellon在第一张图上有所提现

尝试进入ftp服务

账号提示了，密码使用Mellon69

成功进入

3.2拿到低权限用户账号密码

发现/var/www/html目录下存在一个新目录，尝试访问

发现了账号和密码

尝试爆破

3.2.1在在线网站上进行爆破

在线网站：

MD5免费在线解密破解_MD5在线加密-SOMD5

3.2.2使用john工具进行爆破

查看网页源代码，发现md5加盐了

将密码和盐值提取出来一一对应，放到passwd.txt文件中

c2d8960157fc8540f6d5d66594e165e0$6MAp84
727a279d913fba677c490102b135e51e$bQkChe
8c3c3152a5c64ffb683d78efc3520114$HnqeN4
6ba94d6322f53f30aca4f34960203703$e5ad5s
c789ec9fae1cd07adfc02930a39486a1$g9Wxv7
fec21f5c7dcf8e5e54537cfda92df5fe$HCCsxP
6a113db1fd25c5501ec3a5936d817c29$cC5nTr
7db5040c351237e8332bfbba757a1019$h8spZR
dd272382909a4f51163c77da6356cc6f$tb9AWe

使用john进行爆破

john -form=dynamic_6 passwd.txt 

得到的密码：

Balin:flower
Oin:rainbow
Ori:spanky
Maeglin:fuckoff
Fundin:hunter2
Nain:warrior
Dain:abcdef
Thrain:darkness
Telchar:magic

尝试ssh登陆

使用Ori:spanky即可成功登陆

四、ssh本地私钥提权

发现该用户目录下有一首诗

没啥信息，但是该目录下还有.ssh文件

发现了私钥

还本地登陆过，应该是root用户

直接私钥登陆

ssh [email protected] -i id_rsa

成功提权！