目录

前言：

-1，本篇靶机配置    

0，信息收集    

1、针对21端口的 ftp 服务  

2、针对80端口的HTTP服务

3、针对22端口ssh服务        

4、第三个 flag 。    

前言：

        这是一个web小白打的第一个像模像样的靶机，趁着还有激情，写了第一篇像这样一个较为精细的wp博客。虽然从头写wp时也有了新发现、新思路，但也许也在一些方面存在解释不准确、方法不简便等问题，还请各位同学大佬评论区指正。日后也希望自己能够坚持下去。

                                        不知道那个家伙会不会来看——

-1，本篇靶机配置
    

        本人在起始操作时遇到许多困难。故在此提醒和我一样的新手uu们：
    保证 kali和 moneybox 同处于一个网络下，且尽量都使用NAT连接。
    当你后续无法发现该靶机 ip 时,请参考以下破站链接对虚拟机进行设置。
    动态-哔哩哔哩
    打靶时，请保持两台虚拟机同时开启！！！

                        本篇大部分kali操作使用Xshell完成，新手界面不同勿慌

0，信息收集
    

下载并在VMware打开moneybox靶机后，首先一定是尝试进行信息的搜集。
    首先从图片上看，发现“Linux”字样，于是我们需要选择一个Linux系统进行攻击。本篇选择以kali起手，对新手更加友好。
    我们发现该靶机需要登录，这意味着我们后续需要想办法拿到用户信息或者绕过登录，所以无论从渗透的基本思路，还是简单逻辑来讲，我们都需要拿到靶机的 ip 和 端口 以针对目标渗透。
    在kali终端内，使用命令

    arp-scan -l

     对kali同网段的ip进行扫描，以发现ip。
    
         检查 ，发现目标IP地址
    对该IP地址进行 nmap 扫描，查看其开放端口
    
  我们发现其有三个端口服务开放，所以我们可以一 一针对操作

1、针对21端口的 ftp 服务
  

我们可以先使用 nmap 命令

nmap -p80 -sC 192.168.233.130

  该命令的语法，意在调用nmap脚本细致扫描端口的服务，我们后面也会用到哦
    
    图片中字样说明21端口存在 ftp 未授权登陆漏洞，且登录用户名/密码为Anonymous（后面发现甚至密码为空时也可登录），我们可以借此进入靶机。
    同时，我们不可忽视的，还有一个名为 trytofind 的 jpg 文件
    使用命令进行ftp远程登陆，用户名/密码均为anoymous（密码也可为空）

ftp 192.168.233.130

    进入成功。
    我们 ls 一下目录，使用命令

 get trytofind.jpg

将文件下载下来。（下载路径为你打靶时打开的路径）    
    ctrl+z 结束 ftp，使用图片工具 fim（自行搜索安装哦） 将刚刚的 jpg 文件打开看看，命令为

    fim -a trytofind.jpg

        暗中观察，发现我们不能简单地从图片本身看到信息，于是我们可以使用图片隐写工具steghide（自行下载）查看隐写信息并且分离。命令为

steghide extract -sf trytofind.jpg

    糟糕，我们发现该文件需要密码才可分离隐藏文件！这条信息一定隐藏在另外的端口中。因此，我们对21端口的探索告一段落。。。。

        而因为 ssh 端口没有用户名和密码，万不得已时不要爆破，所以我们先跳过22，而转渗透80端口

2、针对80端口的HTTP服务

  我们先使用前文提到过的命令扫描

 nmap -p80 -sC 192.168.233.130

    仅仅发现网站的title名，没啥用。
    不过该80端口属于open状态，就先复制URL找浏览器登录进去试试
  
    它叫我们不要想太多，那我们就先按F12康康网站源码
  
    不是，真的没有啊哥们？
    不能就此放弃探索！我们可以使用dirsearch扫描工具，对其隐藏的子域名进行挖掘，命令为

dirsearch -u 192.168.233.130 

    我们可以在人群中发现一个显眼包地址，直~~~接给他复制了找个浏览器打开看看
  
    直接F12看看实力
    
    哦吼，果真发现一个神秘的目录--S3cr3t-T3xt
 直接在url后边加上这个目录，登陆进去，再用F12打开瞧瞧   
    也是直~~接拿到神秘 key 了好吧，主页欲盖弥彰，纯小丑，比我还小丑（悲

 key： 3xtr4ctd4t4

下一步，就是拿着这个 key ，去解锁 21 端口的图片隐藏文件。
    接着使用前文的图片解密命令，把隐藏文件分离出来
    
    分离成功！ 使用 cat 命令打开文本 data

  cat data.txt

    文件里是一条英文信息，但是重要的不是信息的内容，重要的是———
    “renu”
    一个被层层隐藏的神秘用户。发现你喽！！！
    于是，我们前文迟迟不能碰的 ssh 爆破登入，终于有了操作空间。

3、针对22端口ssh服务    
    

        我们可以用个好用的爆破工具 hydra 进行针对该 ip 的 “renu”用户进行弱密码爆破，该工具命令的基础使用逻辑很简单，先 - l/L 对 已知用户/已知的自己下载的用户名字典 进行批量操作，再 -p/P 对已知密码/已知的自己下载的密码字典 进行批量操作，最后接上 ip 和 端口号即可。所以我们的命令可以为

hydra -l renu -P mixedpw1000.txt ssh://192.168.233.130  

或者

    hydra -l renu -P mixedpw1000.txt 192.168.233.130 ssh 

    爆破成功！！！密码是很简单的弱密码 ，我们可以登入22端口继续操作了！
    使用ssh登录renu用户，并输入爆破出来的弱密码，命令为：

 ssh renu@192.168.233.130

    如上图，登陆成功。
    ls一下看看目录

    如图，我们发现一个 txt 文件，以及一个名为 ftp 的目录。
    cat 一下txt，得到第一个flag。哼哼。
    
  
    

第一滴血!
     乘胜追击！cd 一下 ftp 目录再 ls，发现一个 share目录。咱们再cd、ls一遍
  
    啊哦，回到最初的起点（悲
    别气馁，我们重复 cd .. 不断回上一级目录，同时ls找线索，终于，我们在初始目录的前一个目录home中，ls出了一个 lily 文件夹，又在 lily 文件夹中，发现了我们的第二个txt。直接 cat 它，

哼哼。
    
    第二滴血！
    

4、第三个flag
 

        事实上，打靶还未结束，我们还有第三个 flag 要拿。突破点就在于home目录下的 lily 。
    实际上，该 home 目录下存放的就是靶机的用户文件，也就是说，lily 就是另一个神秘人。
     为了得到更深的隐藏文件，我们需要提权，拿到 root 权限。
    所以，我们先对renu用户使用命令 

 sudo -l

     来查看其提权情况
    
    需要密码 ，尝试未果，失败；
    再登入lily账户，命令如前

    ssh lily@192.168.233.130

    再使用命令

  sudo -l

    图中最下方的红框中，出现了一行代码
    (ALL : ALL) NOPASSWD: /usr/bin/perl
    这个 perl 意味着“lily”这个用户，存在着 perl 提权漏洞！这个漏洞小白uu们不必深究，感兴趣可以自己C一下，知道如何攻破即可。
    上命令：

   sudo perl -e 'exec "/bin/bash";'

        这样，我们就通过 lily 拿到了 root 权限。
    既然有了 root 权限，我们可以直接使用命令
  

  history

这个命令能够显示历史操作信息，说不定能发现一些线索    
    我们敏锐的发现一个txt文件，以root为名；

    这时，我们可以使用命令

    ls -a

来把包括 . 开头的隐藏文件扒出来    
    然后你就可以找到心心念念的root文本文件
    直~~~接 cat 它，拿到第三个 flag ！
    
    终结！

咚咚隆咚锵~