SSH密钥登陆:
本次实验主要讲述获取webshell后,通过得到ssh密钥进行登录,本次实验环境靶场来自于暗月(moonsec)师傅,文中内容全由个人理解编制,若有错处,大佬勿喷,个人学艺不精,本文中提到的任何技术都源自于靶场练习,仅供学习参考,请勿利用文章内的相关技术从事非法测试,如因产生的一切不良后果与文章作者无关。
命令执行nc反弹得到webshell:
在使用之前的python命令来调用本地shell实现交互式命令行, 然后再通过命令解决kali中乱码及不能补全情况:
这里首先要使用bash切换,因为kali中默认使用的zsh。
python3 -c 'import pty;pty.spawn("/bin/bash")' #实现交互式命令行;
ctrl + z #将shell 保存到后台;
stty -echo raw #然后fg 回到shell中。
查看用户:
cat /etc/passwd | grep bash #将文件中带bash的用户提取出来:
然后使用目前权限的账号去对这些用户的目录进行访问:
这里发现查看root目录是没有权限的,只能去访问/home下的目录:
在web1用户下发现.ssh目录:
进入.ssh目录,发现里面存放"id_rsa"私钥和"authorized_key"授权密钥和"id_rsa_pub"公钥:
当目录中如果存放这个授权密钥,那么我们就利用这个文件,进行ssh密钥来登录,达到提权的效果:
我们可以通过md5sum来查看内容是否一致:
查看文件md5值:
md5sum 文件名 #来查看md5值:
注意:这里查看的目的是为了保证授权密钥和公钥一致,是应该查看id_rsa.pub这个文件。
我们cat id_rsa 查看key,将这里面key值保存下来,后续使用这个密钥进行登录:
将文件保存下来,然后赋予600权限:
chmod 600 id_rsa
这里需要注意这个权限,这里我们设置600。
这里我们可以测试下,当不是这个权限的时候,会如何提示:
可以看出这里提示这个密钥文件权限是644,不能成功登录,需要密码:
当我们设置权限为700,发现同样可以登录:
通过几次的测试,这里并不是很多人理解的,大于600就不能够执行,而是这个id_rsa文件只能是文件所有者对此的权限,例如100,200,400,500,600,700这种。
而这个文件所有者所在组以及任何用户/组都不能有权限,否则无法登录。
使用SSH密钥成功登录:
ssh -i id_rsa web1@192.168.45.132
此处我们只是通过密钥连接了ssh,并没有提升至root权限,后续持续更新,敬请关注。
个人理解:
1、想要使用ssh密钥登录,首先得看有没有普通权限可以访问的用户目录,而且这个.ssh目录下必须要有授权密钥,否则无法登陆;
2、或者我们有写入的权限,那我们可以自行生成公钥和私钥,然后将公钥写进授权密钥里,拿私钥去登录,同样也是可以的。
3、最后一点就是我上面说的这个私钥权限问题,并非一定是要600。