nyx

字数统计: 363 | 阅读时长≈ 1 分钟

一、信息收集

1 2	sudo nmap -Pn -p- 192.168.1.173 sudo nmap -sT -sC -sV -p22,80 -O 192.168.1.173

访问80端口，没特别的，dirb+扩展都没有特别的东西

看源代码说，提示：不要浪费时间找源代码和robots.txt这些玩意儿了，找实际的东西

nmap UDP端口也没有什么；fuzz也没用，bp抓包没用，f12，js文件没有，那有什么？

那我干什么？域名、端口、路径，还有什么实际的东西？嗯？

请出我最后的倔强，namp脚本

1	sudo nmap --script=vuln -p80 192.168.1.173

哇，你这个php认真的啊？

是一个私钥，那可以ssh吧，连接一下，不行，但注意这个文件开头是OPENSSH加密算法，那要转换一下吧，平时都是RSA这种兼容性更好的PEM格式

puttygen工具

两步，->ppk->rsa

转换步骤

好，转换后，也连接不上，ssh -i怕是坏了哦

那还有什么方法嘞，回到那个网页的php

好好好，标题给了mpampis key，我脑袋坏了，指明了用户名才能ssh啊，真菜啊

我是笨蛋！！！！！！！！！！！！！！！

免密执行

1	sudo gcc -wrapper /bin/sh,-s .

就是靠nmap脚本扫出来的敏感文件，进行ssh连接，然后sudo+gcc提权

其实web可以扫php后缀，我因为不知道后端语言，没有试php后缀，实际上，这也是个坑，参考CSDN Bossfrank