靶机地址：http://www.vulnhub.com/entry/five86-1,417/

本文涉及知识点实操练习：VulnHub渗透测试实战靶场Node 1.0?（Node 1.0 是一个难度为中等的Boot2root/CTF挑战，靶场环境最初由 HackTheBox 创建，实验目的是获取两个flag）

技术点

• RCE

  • github搜索exp

• 破解Linux中经过HASH加密的密码

  • 生成字典

  • 和破解密码

  • 查看HASH类型

• SSH免密登陆

  • 公钥复制为

• Linux查看当前用户权限可读文件和可执行命令

  • 查看当前用户权限可读文件

  • 可执行命令

目标发现

nmap -sP 参数使用 ping 扫描局域网主机，目的地址为 192.168.56.5

nmap -sS -A -v 192.168.56.5 看一下详细的扫描结果 -sS 是半开放扫描，-A 是进行操作系统指纹和版本检测，-v 输出详细情况

可以看到开放了 22、80、10000 三个端口，并且 80 端口存在?和路径?

漏洞发现与利用

访问http://192.168.56.5是个空白页面，然后去访问 /ona，可以看到是?的管理页面，并且版本是?

的是存在RCE漏洞的，在github找个exp打过去就可以，https://github.com/amriunix/ona-rce

或者是使用?，不过这里有个坑点，就是要对这个bash脚本进行转换格式，否则会报错，使用这个命令，而且这里的shell不能转成TTY

下面的问题就是如何进行提权了，经过一番测试，发现这里无法执行的命令是没有回显的，并且不能执行命令，但是可以使用和命令

这里肯定是有权限控制的，可以使用命令查看这个用户可以读取的文件，除了就是和

读取可以找到的路径

读取这个文件如下，可以得到用户名和HASH的密码，给的提示是

先用看一下是哪个HASH，结果 hash -type : [+] MD5(APR)

然后使用生成对应的字典，命令格式，这里生成只包含aefhrt的10个字符，就可以使用如下命令，更多的介绍可以看Linux下的字典生成工具Crunch和crunch命令详解

最后就要用大名鼎鼎的去破解这个HASH，命令格式，这里使用的命令为

-m是HASH类别，-a是攻击方式，-o是输出结果，更多的参数可以参考Hashcat密码破解攻略。这里在kali里面运行一直报错，就转移到wsl2里面了，命令

最终密码为?

或者这里也可以使用来进行破解，但是速度可能有丶问题

使用ssh连接

这里是个TTY，但还是存在权限控制，使用看一下可以使用什么命令，结果是，这里就有点奇怪了，可以用的身份运行命令

先去访问一下目录，发现和这两个用户，但是只能用的命令，且没有的密码

值得注意的是，如果用户下的包含的公钥，那就可以用的文件登陆的ssh，也即免密登陆的ssh。这里复制到目录下是因为没有权限访问目录下的文件

然后用ssh连接

成功登陆，看到提示，还是先执行看一下，有一个的文件可以读取

或者这里直接输入的命令也可以看到

读取一下，其内容如下

关键词：、

接着ssh连接用户

在当前目录发现了一个隐藏目录，访问后发现一个权限的二进制文件

运行之后就发现自己神奇的变成root用户辣

最后，flag在中，为

彩蛋时刻，其实在拿到的密码之后就可以用虚拟机登陆，然后操作，这里是用的的账号密码，也是同样的效果