Gaara靶机
免责声明:以下内容仅供学习参考,如果用于任何非法途径,后果自负,希望大家做一个遵纪守法的好公民,一起保护我们的网络安全!!!
信息收集
1.扫描网段
nmap 10.9.136.0/24 -p 80
扫描出靶机 10.9.136.217
2.IP详细扫描
nmap 10.9.136.217 -A -p-发送
ssh为默认端口
3.敏感目录扫描
nikto -h http://10.9.136.217
dirb http://10.9.136.217
发现上面两个工具都扫描不出其他目录,然后就尝试另外一个工具gobuster:
gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-1.0.txt -x html -u http://10.9.136.217
但是这个工具也扫描不出来,于是尝试换字典,来到/usr/share/wordlists/dirbuster/目录中,尝试各个字典,最终使用/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt成功爆破出一个路径:
http://10.9.136.217/Cryoserver
渗透阶段
1.探索网站
进入http://10.9.136.217/Cryoserver之后,发现这个网站是个空白页,但是滚条却很长,于是滚动到最下面,发现了类似路径的信息:
于是将这些信息依次与 靶机路径拼接:
http://10.9.136.217/iamGaara
http://10.9.136.217/Kazekage
http://10.9.136.217/Temari
然后在浏览器中打开这三个地址,经过大致查看发现,Kazekage与Temari的内容几乎是一样的,于是拿到iamGaara中的内容与Kazekage的内容去翻译,经过翻译,也没发现什么有用的信息,于是就想到,既然Kazekage与Temari的内容几乎是一样的,那么我就尝试那其中的一个内容和iamGaara的内容进行文本比对,于是将两个内容放到BP的一个 Compare模块中进行对比:
经过比对,发现了一个有差异的东西,就是上图中的蓝色部分,似乎是一个密文,于是拿到百度中去搜索:
搜索发现,这个密文是由 Base58编码的,于是打开 Base58在线解码网站进行解码,解出之后内容为:gaara:ismyname,这个似乎是一个用户名密码,于是拿用户名gaara,密码ismyname进行SSH登录尝试,发现登录失败,并不是密码,这里大概唯一能确定的就是这个靶机有一个用户叫做 gaara。
2.密码爆破
经过上面的探索,大概确定了一个用户名 gaara,似乎找不到其他线索了,于是尝试九头蛇爆破,至于密码字典,我尝试使用kali自带的弱口令字典,这个字典在 /usr/share/wordlists目录中,再这个目录中可以看到 rockyou.txt.gz压缩文件,于是使用以下命令进行解压:
gzip -d rockyou.txt.gz
解压成文本文件之后,再使用九头蛇进行爆破:
hydra -l gaara -P rockyou.txt -V ssh://10.9.136.217 -t 10
这里建议多爆破几次, 因为可能有时候因为网络原因,九头蛇遇到正确的密码也没连接成功,超过了响应时间就连接失败,所以需要多尝试,最后爆破成功,密码为:iloveyou
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lQWTQBPr-1687827345005)(null)]
于是尝试登录靶机,最后登录成功:
3.探索普通用户
进入普通用户之后,发现了一个文本:
这个文本格式看上去类似于是Base64编码后的字符串,于是去Base64在线解码,解码成功,内容为:/usr/local/games,这是一个目录路径,于是cd到这个路径下进行探索,通过 ls -al查看该目录下的文件,发现一个隐藏文件 .supersecret.txt,内容如下:
这个内容看上去似乎是Brainfuck语言加密的,于是复制内容前往在线网站(https://www.splitbrain.org/services/ook)解密:
解密之后发现被耍了,并没有什么重要信息。于是思考其他提权方式
4.尝试提权
1.查看定时任务:
cat /etc/crontab
发现定时任务文件里没有可利用信息
2…查看
/etc/passwd文件权限,并没有发现普通用户可写3…通过
uname -a查看内核版本,利用searchsploit工具搜索内核漏洞,发现没有相关漏洞4…通过
sudo -l查看该用户是否具有某些root程序执行权限,经过查找,发现该普通用户没有任何root程序执行权限:
5…
suid提权:find / -perm -u=s -type f 2>/dev/null通过以上命令,发现可以用来提权的可执行程序
gdb
5.gdb提权
经过以上尝试,发现通过suid的搜索,可以进行 gdb提权,输入以下命令即可完成 gdb提权:
/usr/bin/gdb -nx -ex 'python import os; os.execl("/bin/sh","sh","-p")' -ex quit
经过 gdb提权之后,我们发现我们目前是root用户了,然后前往 /root家目录进行弹出,发现root.txt文件,经过查看,发现成功夺旗:
总结
通过这次靶机练习之后,我对耐心这两个字深有体会,通过网站扫描之后,发现了这个网站先出现 wallpaper,然后一闪而过,到达一个图片的网页,然后我就想到抓包,抓包发现靶机发送了一个Get请求,从外部获取了一个图片的地址,于是我尝试去网上找个图片地址,在BP中修改为我找的地址,想试试看能不能展示我的图片,发现最后只显示了wallpaper,并没有自己找的图片,于是打消了文件上传漏洞的念头。然后去百度搜索 wallpaper,发现这是个壁纸引擎,然后我通过 searchsploit工具进行搜索漏洞,发现有一些漏洞,然后经过尝试,并不适合这个靶机。就想着肯定有其他目录,一个网站怎么可能没有其他目录呢,于是又使用 gobuster进行尝试,由于 kali自带了好多目录字典, 比如这个目录 /usr/share/wordlists/dirbuster有多个字典,于是每个都进行尝试,最终扫描出了目录,然后访问该目录路径,慢慢渗透进去。
最后在目录路径的内容中,找到3篇文章,内容很多,比较难找,但是大概的查看发现两篇内容大概一样,于是我就有了对比的想法,想到BP的比对模块,于是利用BP进行对比,很容易就发现了有一个突出颜色的字符串,于是拿去百度,看看是什么编码,最后发现是Base58编码,于是在线网站解密,最后解密内容看上去似乎是用户名密码,于是尝试SSH登录,但是登录失败,只能确定靶机的用户是gaara,于是就需要尝试弱口令爆破,弱口令字典在 kali的 /usr/share/wordlists 目录中,于是使用九头蛇爆破,但是爆破了很久,可能爆破出了密码,但是可能由于网络连接问题,九头蛇没有显示出来,于是经过多次尝试,最终稿爆破成功,果然是网络问题,密码就在字典的前20个。
上去似乎是用户名密码,于是尝试SSH登录,但是登录失败,只能确定靶机的用户是gaara,于是就需要尝试弱口令爆破,弱口令字典在 kali的 /usr/share/wordlists 目录中,于是使用九头蛇爆破,但是爆破了很久,可能爆破出了密码,但是可能由于网络连接问题,九头蛇没有显示出来,于是经过多次尝试,最终稿爆破成功,果然是网络问题,密码就在字典的前20个。
所以啊走投无路就使用弱口令爆破。
689
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
