实验环境
kali:10.10.10.128
靶机:10.10.10.130
环境搭建
将靶场导入vm,打开方式为vm
选到路径,导入即可
靶场信息收集
首先获取靶场的ip地址,使用kali里namp工具 nmap -sP 输入该靶场所在的网段
得到该靶场ip地址为10.10.10.130
使用nmap 10.10.10.130收集端口信息
尝试访问端口31337
并没有发现有用的信息
继续收集信息,使用dirb对网站目录进行扫描
渗透过程
尝试访问/robots.txt看有没有可利用的信息
都是拒绝访问,接下来尝试访问/.ssh目录
尝试访问/id_rsa目录
下载并保存该文件
查看该文件,simon疑似是用户名 covfefe疑似是主机名
发现疑似ssh私钥泄露,使用ssh尝试登陆
ssh -i 该文件名称 用户名@靶机IP地址
ssh -i id_rsa simon@10.10.10.130
出现了权限报错信息,重新赋予该文件权限
重新执行ssh命令,提示我们要输入该密码
私钥破解
使用ssh2john工具 将id_isa密钥信息转换为John可以识别的信息
ls查看当前目录rsacrack文件
利用john进行解密,解密出来的密码为starwars
使用破解出来的密码进行ssh登录
查看当前用户,发现不是管理员用户,下一步我们进行提权
提权
通过 find / -perm -4000 2>/dev/null 查看我们能执行的文件
查看read_message.c文件 进行源码审计
因为buf[]这个数组只能储存20个字符,那么超过20个字符的就会存入缓冲区,将后面的内容覆盖。
输入read_message,然后输入 SimonAAAAAAAAAAAAAAA/bin/sh
whoami查看权限
提权成功