一、靶机下载

下载链接：https://download.vulnhub.com/zico/zico2.ova

二、Super-Mario-Host靶机搭建

将下载好的靶机环境，用VMware导入即可使用，文件->打开


导入到合适位置即可，默认是C盘，成功导入虚拟机之后，打开即可

三、攻击过程

kali IP：192.168.59.129
靶机IP：192.168.59.131

1、主机发现

nmap -sn 192.168.27.0/24

2、端口扫描

方法一：nmap -sS 192.168.59.131

方法二：masscan 192.168.59.131 -p 0-65535 --rate=10000

3、端口服务识别

nmap -sV -T4 -O 192.168.59.131 -p 22,8180

4、漏洞发现与利用

1、访问目标网站


网页与其源代码均无有用信息，这是个假网站！！！

2、扫描网站目录
默认字典没有扫到有用信息

换个字典
dirb http://192.168.59.131:8180 /usr/share/dirb/wordlists/big.txt

将扫描出的路径逐个尝试，只有/vhosts返回值是200的目录

第一部分注释表明：收到请求后，虚拟主机首先检查hosts http请求标头中提交的值，然后使用它来选择要服务的目标来工作

获得一些敏感的节点信息：

靶机服务器名称（mario.supermariohost.local）
服务器的管理员（webmaster@localhost）
网站根路径（/var/www/supermariohost）
目录索引（mario.php）

若访问http://mario.supermariohost.local:8180，服务器将从/var/www/supermariohost目录中提供文件来服务mario.php

3、修改本地hosts文件添加解析记录访问http://mario.supermariohost.local:8180
192.168.59.131 mario.supermariohost.local

注意：
Windows中hosts文件：C:\Windows\System32\drivers\etc\hosts
Linux中hosts文件：/etc/hosts
Hosts文件作用：将一些常用的网址域名与其对应的IP地址建立一个关联“数据库”，当用户在浏览器中输入一个需要登录的网址时，系统会首先自动从hosts文件中去寻找对应的IP地址，一旦找到，系统会立即打开对应网页，如果没有找到，系统则会再将网址提交DNS域名解析服务器进行IP地址解析

4、再次访问http://mario.supermariohost.local:8180/

使用kali自带的dirbuster扫描目录,扫描出来如下目录

访问http://mario.supermariohost.local:8180/luigi.php

5、访问http://mario.supermariohost.local:8180/command.php

6、使用cewl爬取站点下的可疑用户名作为用户名字典
cewl http://mario.supermariohost.local:8180/luigi.php -d 3 -w /root/user.txt

cewl通过爬行网站获取关键信息创建一个密码字典
http://mario.supermariohost.local:8180/可以是目标网站的ip地址，也可以是网址
-m:最小单词长度
-d:爬网深度
-e:收集包含emali地址信息
-c:每个单词出现的次数
-w:字典输出位置
支持基本，摘要，身份验证
支持代理;
详细用法参考：https://www.freebuf.com/articles/network/190128.html

7、john在该user的基础上生成相应社工密码进行爆破
john --wordlist=user.txt --stdout --rules > passwd.txt

注意：
–wordlist[=FILE] --stdin 单词表模式，从FILE或stdin读取单词
–stdout[=LENGTH] 只是输出候选人密码[在LENGTH切]
–rules[=SECTION] 为单词表模式启用单词修改规则

8、爆破ssh密码
经测试发现metasploit破解密码不成功，设置没有问题，但不知道原因，
使用hydra爆破ssh密码，此次爆破线程不要开太高了，容易跑不出密码，别问我为什么？我也不知道
hydra -L user.txt -P passwd.txt ssh://192.168.212.7 -t 20 或者 hydra -L user.txt -P luigipass.txt 192.168.10.154 ssh -t 20

因时间太久，本次使用简单方法，假设知道用户名
hydra -l luigi -P passwd.txt ssh://192.168.212.7 -t 20

-t tasks 同时运行的线程数，默认是16
-l login 小写，指定用户名进行破解
-L file 大写，指定用户的用户名字典
-p pass 小写，用于指定密码破解，很少使用，一般采用密码字典。
-P file 大写，用于指定密码字典。

hydra详细用法，参考链接：https://blog.csdn.net/lxw826982262/article/details/97376729

爆破出密码luigi/luigi1,使用ssh登录

可以看到该shell支持的命令，发现是受限的shell，最后发现了绕过方法
命令： awk ‘BEGIN{system(“/bin/bash”)}’ 如图：


查看内核版本,然后再kali使用searchsploit查找是否有exp


开启kali的WEB服务，将exp下载到靶机


开始提权,成功获得管理员权限

总结：

1.信息收集
2.dirbuster、dirb扫描目录
3.测试用户是否存在
4.使用cewl爬取站点下的可疑用户名作为用户名字典
5.john在该user的基础上生成相应社工密码进行爆破
6.使用awk调用系统命令绕过受限的shell
7.利用内核版本漏洞本地提权