目录

• 一、信息收集
• 二、ssh私钥登录
• 三、sudo gcc提权

一、信息收集

拿到靶机后，老规矩，把靶机和kali都设置为nat模式

这里我的kali本机ip为192.168.138.133

开始nmap全家桶

扫到的251则是靶机ip

接下来是端口扫描，扫出来只有两个端口，一个22，一个80，这里我感觉应该是通过web页面寻找信息，最后ssh远程连接拿到shell

这里对端口详细扫描

最后nmap脚本漏洞扫描

/d41d8cd98f00b204e9800998ecf8427e.php

这里有扫描到了一个非常奇怪的php文件，一会重点访问一下

有80端口的话，就要对靶机进行目录扫描，这里都是一些基本的目录，没有什么我们要特别关注的

二、ssh私钥登录

进入页面以后，只有这个靶机的名称

查看页面源代码是，最下面有一句注释。意为不要查看源码和txt文件中浪费时间，关注更真实的东西

这里我直接访问了刚才nmap漏洞扫描得到的php文件，里面竟然是私钥，很显而易见了，我们只需要创建一个私钥文件并把下面的源码复制进去就可以远程登录靶机了

这里我在想私钥的用户，发现页面的标题是mpampis key，我猜测应该是mpampis用户，直接复制去kali

cd /root/.ssh                                       先进入这个目录

vim id_rsa                                 创建并复制入私钥源码

cat id_rsa      查看刚复制完的源码，没有问题即可登录

这里第一次私钥登录时出错了，下面的提示信息大概意思是id_rsa的权限太高了，不能让属组和其他用户查看，修改权限为600则登录成功

chmod 600 id_rsa 

ssh -i id_rsa mpampis@192.168.138.251

三、sudo gcc提权

进入靶机后sudo -l发现可以提权

这里给大家推荐一个辅助提权工具GTFOBins

https://gtfobins.github.io/#

在搜索框中输入gcc即可查看sudo gcc提权的命令

复制shell命令，在kali中sudo该命令即可提权

gcc -wrapper /bin/sh,-s .

总结：这个靶机从扫描到提权一气呵成，没有难度，最主要的还是把信息收集做好、做完整，如果信息收集不完全，就得不到nmap漏洞扫描得到的php文件，可能会卡住，信息收集真的很重要！！！