帶妹玩轉Vulnhub 五

今天晚上聽說炫酷的**大佬國慶期間要出去旅遊，不能帶我飛，很傷心?，一怒之下我又來找萌妹了-。還有沒有妹子了晚上出來玩丫（小聲比比），哥哥身體很好！??咳咳！

帶妹是不可能帶妹的，這輩子都不可能帶妹的?

天上飄來3個字啥都不是事?netdiscover -r 192.168.43.0/24

使用nmap 192.168.43.234,這裡吸取了前面的教訓，我使用如下命令進行更加詳細的掃瞄nmap -a -p- -t4 192.168.43.234，這樣便可以盡最大可能的獲取更多的資訊。

訪問80和8080埠都是一樣的頁面

可以看到這是乙個基於python的django框架，之前僅僅是略微了解過。最討厭這種需要閱讀文章來獲取資訊的**了。

通過目錄掃瞄我們得到了一些有用的資訊。

這裡我就懶得寫這些頁面是怎麼出來的了，用dirb掃一下就有了?

繼續探查發現一處關鍵的資訊

可以看到前面應該是登陸的使用者名稱，後面的hash是登陸的密碼，可以使用hash-identifier檢視一下hash值的特徵，並且從注視中可以看出，**的管理員以為將密碼hash之後就安全了，haha?，這莫非是在逗我，我們可以很容易從現有的資訊中破解出hash密碼。

之前做實驗的時候已經學過john的使用，乙個是字典乙個是你需要破解的hash，我們使用如下命令：john hashguess.txt --format=raw-sha1

拿到使用者名稱nick和密碼bulldog之後，便可以嘗試登陸了

在登陸頁面並沒有什麼作用，不過**提供了乙個web-shell的頁面，雖然做了限制，但是有乙個echo便足以進行命令執行了。

我嘗試使用這個命令建立乙個反向shell，但是無論如何都無法連線，也許是我**出現了問題。

但至少echo命令可以達到命令執行的目的。

最後使用echo $(cat ../../bulldogadmin/.hiddenadmindirectory/note)

可以看到乙個提示

這時還是需要我們去暴力破解出django的密碼，這裡使用hydra關鍵在於如何建立乙個可靠的字典。

這裡根據已有的資訊，並且需要仔細的觀察，我構建如下的字典，並進行爆破，最終得到django的密碼，使用ssh登陸。

到現在為止我們又再一次獲取了root

過程很簡單，只是這最後一步構造字典需要比較大的腦洞。

已經第五天了，怎麼來找我的妹子還是寥寥無幾，生氣?

我拋一枚硬幣，如果正面朝上，我做你男朋友，如果反面朝上，你做我女朋友???

帶妹是不可能帶妹的，這輩子都不可能帶妹的