0x01 环境搭建

调整内核版本：

在 ALiyun 上面开了一台 centos7.6，然后把内核版本替换为与目标内核版本一致：

wget https://buildlogs.centos.org/c7.1810.u.x86_64/kernel/20190729174341/3.10.0-957.27.2.el7.x86_64/kernel-3.10.0-957.27.2.el7.x86_64.rpm
wget https://buildlogs.centos.org/c7.1810.u.x86_64/kernel/20190729174341/3.10.0-957.27.2.el7.x86_64/kernel-headers-3.10.0-957.27.2.el7.x86_64.rpm
wget https://buildlogs.centos.org/c7.1810.u.x86_64/kernel/20190729174341/3.10.0-957.27.2.el7.x86_64/kernel-devel-3.10.0-957.27.2.el7.x86_64.rpm
yum -y localinstall kernel-3.10.0-957.27.2.el7.x86_64.rpm
yum -y localinstall kernel-devel-3.10.0-957.27.2.el7.x86_64.rpm
yum -y localinstall kernel-headers-3.10.0-957.27.2.el7.x86_64.rpm
grub2-set-default "CentOS Linux (3.10.0-957.27.2.el7.x86_64) 7 (Core)"
reboot

获取 www 权限：

yum -y update
yum -y install httpd
yum -y install php
systemctl start httpd.service

向默认目录 /var/www/html 下写入一个 index.html，访问发现 apache 服务起成功了：

往 /var/www/html web 目录

靶机环境

https://download.vulnhub.com/lampiao/Lampiao.zip

攻击机 Kali IP 192.168.23.138。

靶机处于同一内网 C 段。

主机发现

nmap -sP 192.168.23.1/24

其中：

• 192.168.23.1 是虚拟网卡使用的地址：

• 192.168.23.254 是 DHCP 服务器的地址；
• 192.168.23.138 是攻击机 Kali；
• 192.168.23.2 是虚拟网卡的网关地址：

所以综上排除之后，靶机的 IP 为 192.168.23.139。

端口扫描

nmap -sS -Pn -T4 -p 1-65535 192.168.23.139

弱口令爆破 22 端口

使用 msf 的 scanner/ssh/ssh_login 来爆破此靶机的 22 端口：

msfconsole
search scanner/ssh
use scanner/ssh/ssh_login
set RHOSTS 192.168.23.139
set THREADS 200
set Username root
set PASS_FILE /root/Desktop/dic_password_ssh.txt
run

对这种一般环境黑盒测试使用通用字典进行爆破。

字典选择了我在 SNETCracker 这个工具里面扒下来的弱 ssh 密码字典。

根据目标环境ssh用户名设为 root 足矣。

注：SNETCracker 这个工具也很好用，可单用。

虽然 ruby 略慢，最终跑出来了，一无所获：

在此相当于一个纯黑盒环境，所以我用通用字典跑。在一些灰盒环境，可以根据获取的信息，如时间、公司名称缩写、域名称缩写这些信息建立一个针对性的字典。一些公司用户名就是 名称@年份。
还可以抓 shadow 跑密码，丢到字典里面去，在遇到运维设置不太好的情况下，有时候能够通杀一大片。

1898端口信息收集

1898 端口是一个网站。功能点较为单一、尝试进行信息收集。

目录扫描