vulnhub-Five86-1

1、寻找靶机地址

靶机使用NAT地址转换的话，先查看VMnet8的地址，可以确定靶机处在的C段。

使用netdiscover -r 192.168.126.0/24查看具体的靶机地址

2、扫描靶机的端口服务等信息

使用nmap -sV -A ...... 192.168.126.128

3、漏洞利用与发现

1.根据扫描出的服务具体问题具体操作

2.getshell后就是如何进行提权了

这里getshell后可以看看自己的权限等级，比如

whoami: www-data，这个不是管理员或root权限，需要提权

还可以看看这个等级权限可以执行什么操作，比如

ls ...

cat /etc/passwd ...

cat /etc/shadow，这个命令可能就不被允许了，因为其他用户不能查看shadow

使用find / -type f -user www-data命令查看这个用户可以读取的文件

发现/var/www/html/reports/.htaccess这样的文件

cat /var/www/html/reports/.htaccess文件，查看文件内容，发现/var/www/.htpasswd文件，里面应该有用户名密码，cat /var/www/.htpasswd，得到用户名密码，但是是hash过的

用户hash-identifier查看hash类型，用crunch根据密码提示生成字典，用hashcat爆破出hash密码

用得到的用户名密码ssh连接机器，成功连接，连进去后是douglas用户的权限，因为我们使用的就是该用户的用户名密码

连上后得到TTY（Linux终端），但是还是存在权限控制，使用sudo -l看一下可以使用什么命令，结果是(jen) NOPASSWD: /bin/cp，也就是说douglas可以用jen的身份运行cp命令

那么如果jen用户下的/home/jen/.ssh/authorized_keys包含douglas的公钥，那就可以用douglas的id_rsa文件登录jen的ssh，也即免密登录jen的ssh。这里复制到/tmp目录下是因为jen没有权限访问douglas目录下的文件

cp .ssh/id_rsa.pub /tmp/authorized_keys

chmod 777 /tmp/authorized_keys

sudo -u jen /bin/cp /tmp/authorized_keys /home/jen/.ssh/

ssh-keygen的使用方法

单向登陆的操作过程

1、登录A机器

2、ssh-keygen -t [rsa|dsa]，将会生成密钥文件和私钥文件 id_rsa,id_rsa.pub或id_dsa,id_dsa.pub

3、将 .pub 文件复制到B机器的 .ssh 目录， 并 cat id_dsa.pub >> ~/.ssh/authorized_keys

4、大功告成，从A机器登录B机器的目标账户，不再需要密码了；（直接运行 #ssh 192.168.20.60 ）

然后ssh连接jen，ssh -i id_rsa jen@192.168.126.128

可以看到提示mail，还是先执行echo $(find / -type f -user jen) > 1.txt 看一下，有一个/var/mail/jen的文件可以读取，或者这里直接输入mail的命令也可以看到，读取其内容

提示需要登录另一个用户，而且给了密码，则ssh连接另一个用户

在当前目录发现了一个隐藏目录.games，访问后发现一个root权限的二进制文件，运行后就变成root用户了，./二进制文件，最后flag在/root/flag.txt中