靶场练习-vulnyx：Beginner - Low - VulNyx - 靶场练习 | 🎐清风. = 劈开深海，填入我的山🍂

# 靶场搭建

下载：Bingger

Nat 使用

IP： 192.168.1.133

# 渗透过程

# 信息初收集

	PORT STATE SERVICE VERSION
	22/tcp open ssh OpenSSH 8.4p1 Debian 5+deb11u1 (protocol 2.0)
	\| ssh-hostkey:
	\| 3072 f0:e6:24:fb:9e:b0:7a:1a:bd:f7:b1:85:23:7f:b1:6f (RSA)
	\| 256 99:c8:74:31:45:10:58:b0:ce:cc:63:b4:7a:82:57:3d (ECDSA)
	\|_ 256 60:da:3e:31:38:fa:b5:49:ab:48:c3:43:2c:9f:d1:32 (ED25519)
	80/tcp open http Apache httpd 2.4.56 ((Debian))
	\|_http-title: Site doesn't have a title (text/html).
	\|_http-server-header: Apache/2.4.56 (Debian)

80 端口提示，敏感文件泄露

web 端跑成傻逼了都没跑出来

可能是别的泄露，UDP 拉出来跑一下

	PORT STATE SERVICE
	68/udp open\|filtered dhcpc
	69/udp open\|filtered tftp

tftp 服务，用 tftp 连上去瞅了一下，发现没有 ls 功能，只有爆破了

msf 启动！

msf6 auxiliary(scanner/tftp/tftpbrute) > set RHOSTS 192.168.1.133
RHOSTS => 192.168.1.133
msf6 auxiliary(scanner/tftp/tftpbrute) > run

[+] Found backup-config on 192.168.1.133
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed

找到了一个 backup-config

OK 了家人解压看看

有一个 id_rsa 和一个配置文件

看一下配置文件内容，过滤下注释的信息

	┌──(root㉿kali)-[~/backup]
	└─# cat sshd_config\| grep -v -e ^# -e ^$
	Include /etc/ssh/sshd_config.d/*.conf
	ChallengeResponseAuthentication no
	UsePAM yes
	X11Forwarding yes
	PrintMotd no
	PrintLastLog no
	AcceptEnv LANG LC_*
	Subsystem sftp /usr/lib/openssh/sftp-server
	Match User boris
	PasswordAuthentication no

看到有个用户叫 boris 不需要密码，用 id_rsa 登录到 ssh

# 提权

sudo -l 发现有个 html2text 的程序

试了一下，text 输出有格式的，那就比较麻烦了，本来想把 key 写入到 root 的，发现输出格式不对，所以只能从 root 下读取 id_rsa 了，读到之后编辑一下。

直接 SSH 到 root 上，OK 了家人。

# 小结

vi、nano 最好还是熟练使用吧，不然改起来太痛苦了。

靶场 VulNyx

# 靶场搭建

# 渗透过程

# 信息初收集

# 提权

# 小结

靶场练习-vulnyx：Deploy

靶场练习-vulnyx：Basic