evil-box靶场记录

一、测试环境：

攻击机：kali、Windows10

靶机：虚拟机内的evilbox。

这个靶场打开可能会出现无法显示ip的情况，需要更改网卡链接。在引导界面按下E，把ro改成rw，ro代表只读，rw代表可读可写，再在后面加上“signle init=/bin/bash”,按下ctrl+x进入单用户界面。

 使用ip a 查看IP地址：环回网卡lo，物理网卡名字为ens33.没有IP地址信息

我们编辑网卡的配置文件： vi /etc/network/interfaces    将里面配的网卡名称改成我们虚拟机中分配的名称。

 重启虚拟机，然后再使用kali去扫描。

二、信息收集

还是老样子使用kali的nmap去扫所属网段存活的主机，找到目标主机，再扫描端口看看开放哪些服务，为接下来的渗透提供思路。这里扫到分别开放了22端口ssh服务和80端口。在真实机上打开发现就一个apache的手册界面。全是英文还有好多路径，于是先把突破口放到目录遍历上，测试了一波无果。。。。。。，于是扫一下目录，发现一个robots.txt和secret目录，robots文件意思像是给了一个用户名，我也没有去爆破密码，因为打多了不可能这么简单，当然实际工作中一定不要放过任何一次机会。

 secret目录没有访问权限，向这种的就需要爆一下下面的目录。41万条数据可不是白跑的，终于露出鸡脚了。访问为空白页面，向这种空白页面可以尝试利用文件包含漏洞，但我们不知道参数名，就需要利用bp fuzz一下。

 

 也是不出所望，找到参数名，也存在文件包含漏洞。发现/etc/passwd下并没有robots给的用户名。还好我没浪费时间去跑。不过发现一个用户名为mowree。我们尝试使用爆破一下试试。因为实在没有别的突破点看一下支持哪几种ssh登录方式。

ssh mowree@192.168.31.64 -v

 emmmm,可以看到可以使用私钥登录，那我们去读取一下该用户的私钥信息。

私钥信息保存在/home/mowree/.ssh/id_rsa

 我们把他下载到kali里面

wget http:xxxxxxxxxxxxx

这里有个问题想要使用john破解需要先把下载的私钥文件编译成john能够识别的格式。使用命令

ssh2john id_rsa > pass.txt

这里还要注意由于是直接下载的下载的文件名并不是id_rsa 需要修改一下。

编译完成在使用john去破解，最后跑出来密码

 我们在使用ssh去登录

 登录成功不用看就知道不是root权限，id一下果然不是。

三、提权

提权我之前文章也有介绍。

一般都是先看计划任务和系统版本还有可以写入的文件进行提权

这里发现/etc/passwd文件可以写入

find / -writable 2>/dev/null | grep -v proc

这里有两种方法可以去利用

一是可以直接修改root密码，因为root用户的密码在/etc/shadow文件中，我们可以删除root的“x”改成我们想改的密码的哈希值。

openssl passwd -1    //1代表加密方式

然后输入两次密码。生成成功

编辑/etc/passwd文件。这里顺便说一下vi编辑器的操作

1 、 vi 的基本概念

基本上 vi 可以分为三种状态 , 分别是命令模式 (command mode) 、插入模式 (Insert mode) 和底行模式 (last line

mode), 各模式的功能区分如下 :

1) 命令行模式 command mode)

控制屏幕光标的移动 , 字符、字或行的删除 , 移动复制某区段及进入 Insert mode 下 , 或者到 last line

mode 。

2) 插入模式 (Insert mode)

只有在 Insert mode 下 , 才可以做文字输入 , 按「ESC 」键可回到命令行模式。

3) 底行模式 (last line mode)

将文件保存或退出 vi, 也可以设置编辑环境 , 如寻找字符串、列出行号 ...... 等。

一般，我们在使用时把 vi 简化成两个模式 , 就是将底行模式 (last line mode) 也算入命令行模式 (command

mode) 。

2 、 vi 的基本操作

a) 进入 vi

在系统提示符号输入 vi 及文件名称后 , 就进入 vi 全屏幕编辑画面 :$ vi myfile

b) 切换至插入模式 (Insert mode) 编辑文件

在「命令行模式 (command mode) 」下按一下字母 i 」就可以进入「插入模式 (Insert mode) 」 , 这时候你就可 以开始输入文字了。

c) Insert 的切换

在「插入模式 (Insert mode) 」下 , 就只能输入文字 , 将该字删除时 , 就要先按一下「ESC 」键转到「命令行模式 (command mode) 」再删除文字 ( 或 Delete) 。

d) 退出 vi 及保存文件

在「命令行模式 (command mode) 」下 , 按一下「: 」冒号键进入「 Last line mode 」 , 例如 : : w filename

( 输入 「 w filename 」将文章以指定的文件名 filename 保存 )

: wq( 输入「 wq 」 , 存盘并退出 vi)

: q!( 输入 q!, 不存盘强制退出 vi)

w filename:储存正在编辑的文件为 filename

wq filename:储存正在编辑的文件为 filename, 并退出 viq!: 放弃所有修改 , 退出 vi

3 、命令行模式 (command mode) 功能键

1). 插入模式

按「i 」切换进入插入模式「

insert mode 」 , 按 "i" 进入插入模式后是从光标当前位置开始输入文件 ;

按「a 」进入插入模式后 , 是从目前光标所在位置的下一个位置开始输入文字 ;

按「o 」进入插入模式后 , 是插入新的一行 , 从行首开始输入文字。

2). 从插入模式切换为命令行模式

按「ESC 」键。 删除操作 ( 按 ESC 键转换回 Command mode, 再删除文字 )

x: 每按一次删除光标所在位置的后面一个字符。 [ 超常用 ]

#x:例如 ,6x 表删除光标所在位置的后面 6 个字符。 [ 常用 ]

X:大字的 X, 每按一次删除光标所在位置的前面一个字符。

#X:例如 ,20X 表删除光标所在位置的前面 20 个字符。

dd:删除光标所在行。 [ 超常用 ]

#dd:例如 ,6dd 表删除从光标所在的该行往下数 6 行之文字。 [ 常用 ]

 修改完成，

su root

输入密码即可登录root用户。

 第二种方法就是写入一个有root权限的用户

perl -le 'print crypt("pass","pass")'

生成加盐的密码，然后写入/etc/passwd下

echo hacker:pauONM/HSu9pM:0:0:root:/root:/bin/bash >> /etc/passwd

然后切换用户

su hacker

登录成功。