Hat靶机

Hat靶机的ip是192.168.200.8

先用nmap扫描一下靶机所有的端口
nmap -p- 192.168.200.8
发现22端口不知道是否开放
还有一个65535 的unkown端口
image

详细查看一下65535端口的信息
nmap -p 65535 -sV 192.168.200.8
貌似是个ftp 但是尝试匿名连接是连接不上去的
image

dirsearch扫描了一下80端口的web站点
发现有个logs
image

但是访问了一下发现啥都没有
image

于是又用dirsearch扫http://192.168.200.8/logs/发现还是啥都没有
完全懵逼了

看了wp才知道是自己的字典不够强大 上网github把字典下载了
换了一个工具
用gobuster来扫
发现了两个目录
image

接着扫logs下的目录
不过值得注意的是
gobuster.exe dir -w C:\Users\89135\Desktop\hacktool\fuzz\wordlists-main\wordlists-main\wordlists\discovery\directory_list_lowercase_2.3_medium.txt -u http://192.168.200.8/logs
是扫不出来其他内容的 很奇怪

要加一个 -x的参数 意思是指定扩展名 -x .log,.php 就是指定.log 和 .php结尾的文件
gobuster.exe dir -w C:\Users\89135\Desktop\hacktool\fuzz\wordlists-main\wordlists-main\wordlists\discovery\directory_list_lowercase_2.3_medium.txt -u http://192.168.200.8/ -x .log,.php

扫出来了个
http://192.168.200.8/logs/vsftpd.log
上网查了一下这个关键词vsftpd.log 是个ftp的登录日志
刚好里面有一个 admin_ftp登录成功了
image
这就和我们之前的 65535的ftp端口 联系 上了 意思很明显了 就是让我们爆破这个密码

爆破出来
cowboy
image

连接这个ftp
lftp 192.168.200.8 -p 65535 -u admin_ftp
image

观察里面的文件
image

熟悉ssh证书登录的应该知道这个是share文件里面的id_rsa是个私钥

把id_rsa文件复制到id中
cat id_rsa>id

再将id文件转化为hash文件
ssh2john id > hash

然后再用rockyou.txt字典爆破这个解开私钥的密码
john hash --wordlist=/root/Desktop/fuzz/rockyou.txt/rockyou.txt

image
密码是ilovemyself

那么接下来就分析了既然链ssh证书都有 那么这个22端口大概率是开放的 但是nmap 扫22的时候被过滤了
那么我们怎么绕过呢

可以ipv6来绕过 因为他可能过滤了ipv4但是没有过滤ipv6

ping6 -c2 -n -I eth0 ff02::1 发广播 网段内所有的ipv6地址ping一遍我们就能在里面找到 靶机的ipv6了

找到了ipv6后之久nmap再扫一遍 就会发现他的22端口其实就是开着的
image

接下来我们就可以用ipv6的地址去连接他的ssh了
我们得先修改一下id文件的权限 不然连接时会报错
chmod 600 id
然后
ssh -i id cromiphi@fe80::20c:29ff:fed7:fd6a%eth0
image
拿下

posted @ 2024-08-20 21:52  WSssSW  阅读(33)  评论(0)    收藏  举报