Vulnhub-HACKATHONCTF: 2渗透

一、前言

 由于在做靶机的时候，涉及到的渗透思路是非常的广泛，所以在写文章的时候都是挑重点来写，尽量的不饶弯路。具体有不不懂都的可以直接在文章下评论或者私信博主
 如果不会导入Vulnhub靶机和配置网络环境的话，请点我直达发车文章！

 本文靶机下载连接-戳我直接下载！

1、靶机ip配置

• Kali IP：192.168.100.35
• 靶机IP：192.168.100.38靶机ip获取方式如下图
  

2、渗透目标

• 获取flag1.txt文件的内容
• 获取到/root/目录下的flag2.txt文件

3、渗透概括

1. ftp信息获取
2. web目录扫描
3. ssh爆破
4. vim提权
   
   

开始实战

一、信息获取

使用nmap工具对靶机做基本的信息收集nmap -sS -sV -A -T4 -p- 靶机IP如下所示

可以看到，开放的端口有21/ftp 80/http 7223/ssh
21/ftp根据扫描的信息可以看到该ftp服务上有两个文件flag.txt和word.dir等一下用匿名用户把这个两个文件下载下来看看是个什么情况
80/http基本上大部分的漏洞都是存在于web服务上
7223/ssh靶机的作者把ssh端口给改了，ssh可以直接pass掉了，这个版本基本上没有什么可利用的漏洞了，一般获取到了用户信息才使用这个

我们先看看21/ftp服务，使用匿名用户anonymous登录（密码随便填）

我们查看这两个文件，获取到了一个flag和一个可能是密码的字典文件，这个字典文件可能会用于后续的爆破

我们再看到该靶机的web服务，是一个图片，还有两个超链接（打不开）

二、web目录爆破

我们用gobuster工具对web目录爆一下，如下图，发现了一个可疑的目录/happy

gobuster dir -u http://192.168.100.38/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x jpg,php,txt,html

我们访问一下爆出来的/happy目录，如下图
虽然信息告诉我们这儿啥也没有，但是我们按f12审查该页面源码可以看到一个账号hackathonll

三、ssh爆破

结合我们拿到账号hackathonll和word.dir字典可以尝试用hydra工具对该靶机的ssh服务爆破一下
如下图，可以看到爆出hackathonll用户的密码为Ti@gO

hydra -l hackathonll -P word.dir -t 32 -s 7223 192.168.100.38 ssh

我们通过获取到的账户密码就可以成功登录该靶机7223端口上的ssh服务

四、提权

我们用sudo -l命令查看一下权限，发现vim命令是不需要密码就可以用root的权限运行

我们仅需要使用sudo vim -c ':!/bin/sh'命令就可以提权到root

我们使用cd ~命令到root的家目录，如下图可以看到flag文件flag2.txt，并且使用cat命令查看即可