Gaara靶机
免责声明:以下内容仅供学习参考,如果用于任何非法途径,后果自负,希望大家做一个遵纪守法的好公民,一起保护我们的网络安全!!!
信息收集
1.扫描网段
nmap 10.9.136.0/24 -p 80
扫描出靶机 10.9.136.217
2.IP
详细扫描
nmap 10.9.136.217 -A -p-
发送
ssh
为默认端口
3.敏感目录扫描
nikto -h http://10.9.136.217
dirb http://10.9.136.217
发现上面两个工具都扫描不出其他目录,然后就尝试另外一个工具gobuster
:
gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-1.0.txt -x html -u http://10.9.136.217
但是这个工具也扫描不出来,于是尝试换字典,来到/usr/share/wordlists/dirbuster/
目录中,尝试各个字典,最终使用/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
成功爆破出一个路径:
http://10.9.136.217/Cryoserver
渗透阶段
1.探索网站
进入http://10.9.136.217/Cryoserver
之后,发现这个网站是个空白页,但是滚条却很长,于是滚动到最下面,发现了类似路径的信息:
于是将这些信息依次与 靶机路径拼接:
http://10.9.136.217/iamGaara
http://10.9.136.217/Kazekage
http://10.9.136.217/Temari
然后在浏览器中打开这三个地址,经过大致查看发现,Kazekage
与Temari
的内容几乎是一样的,于是拿到iamGaara
中的内容与Kazekage
的内容去翻译,经过翻译,也没发现什么有用的信息,于是就想到,既然Kazekage
与Temari
的内容几乎是一样的,那么我就尝试那其中的一个内容和iamGaara
的内容进行文本比对,于是将两个内容放到BP
的一个 Compare
模块中进行对比:
经过比对,发现了一个有差异的东西,就是上图中的蓝色部分,似乎是一个密文,于是拿到百度中去搜索:
搜索发现,这个密文是由 Base58
编码的,于是打开 Base58
在线解码网站进行解码,解出之后内容为:gaara:ismyname
,这个似乎是一个用户名密码,于是拿用户名gaara
,密码ismyname
进行SSH登录尝试,发现登录失败,并不是密码,这里大概唯一能确定的就是这个靶机有一个用户叫做 gaara
。
2.密码爆破
经过上面的探索,大概确定了一个用户名 gaara
,似乎找不到其他线索了,于是尝试九头蛇爆破,至于密码字典,我尝试使用kali
自带的弱口令字典,这个字典在 /usr/share/wordlists
目录中,再这个目录中可以看到 rockyou.txt.gz
压缩文件,于是使用以下命令进行解压:
gzip -d rockyou.txt.gz
解压成文本文件之后,再使用九头蛇进行爆破:
hydra -l gaara -P rockyou.txt -V ssh://10.9.136.217 -t 10
这里建议多爆破几次, 因为可能有时候因为网络原因,九头蛇遇到正确的密码也没连接成功,超过了响应时间就连接失败,所以需要多尝试,最后爆破成功,密码为:iloveyou
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lQWTQBPr-1687827345005)(null)]
于是尝试登录靶机,最后登录成功:
3.探索普通用户
进入普通用户之后,发现了一个文本:
这个文本格式看上去类似于是Base64
编码后的字符串,于是去Base64
在线解码,解码成功,内容为:/usr/local/games
,这是一个目录路径,于是cd
到这个路径下进行探索,通过 ls -al
查看该目录下的文件,发现一个隐藏文件 .supersecret.txt
,内容如下:
这个内容看上去似乎是Brainfuck
语言加密的,于是复制内容前往在线网站(https://www.splitbrain.org/services/ook)解密:
解密之后发现被耍了,并没有什么重要信息。于是思考其他提权方式
4.尝试提权
1.查看定时任务:
cat /etc/crontab
发现定时任务文件里没有可利用信息
2…查看
/etc/passwd
文件权限,并没有发现普通用户可写3…通过
uname -a
查看内核版本,利用searchsploit
工具搜索内核漏洞,发现没有相关漏洞4…通过
sudo -l
查看该用户是否具有某些root程序执行权限,经过查找,发现该普通用户没有任何root程序执行权限:5…
suid
提权:find / -perm -u=s -type f 2>/dev/null
通过以上命令,发现可以用来提权的可执行程序
gdb
5.gdb
提权
经过以上尝试,发现通过suid
的搜索,可以进行 gdb
提权,输入以下命令即可完成 gdb
提权:
/usr/bin/gdb -nx -ex 'python import os; os.execl("/bin/sh","sh","-p")' -ex quit
经过 gdb
提权之后,我们发现我们目前是root用户了,然后前往 /root
家目录进行弹出,发现root.txt
文件,经过查看,发现成功夺旗:
总结
通过这次靶机练习之后,我对耐心这两个字深有体会,通过网站扫描之后,发现了这个网站先出现 wallpaper
,然后一闪而过,到达一个图片的网页,然后我就想到抓包,抓包发现靶机发送了一个Get请求,从外部获取了一个图片的地址,于是我尝试去网上找个图片地址,在BP
中修改为我找的地址,想试试看能不能展示我的图片,发现最后只显示了wallpaper
,并没有自己找的图片,于是打消了文件上传漏洞的念头。然后去百度搜索 wallpaper
,发现这是个壁纸引擎,然后我通过 searchsploit
工具进行搜索漏洞,发现有一些漏洞,然后经过尝试,并不适合这个靶机。就想着肯定有其他目录,一个网站怎么可能没有其他目录呢,于是又使用 gobuster
进行尝试,由于 kali
自带了好多目录字典, 比如这个目录 /usr/share/wordlists/dirbuster
有多个字典,于是每个都进行尝试,最终扫描出了目录,然后访问该目录路径,慢慢渗透进去。
最后在目录路径的内容中,找到3篇文章,内容很多,比较难找,但是大概的查看发现两篇内容大概一样,于是我就有了对比的想法,想到BP
的比对模块,于是利用BP
进行对比,很容易就发现了有一个突出颜色的字符串,于是拿去百度,看看是什么编码,最后发现是Base58编码
,于是在线网站解密,最后解密内容看上去似乎是用户名密码,于是尝试SSH登录,但是登录失败,只能确定靶机的用户是gaara
,于是就需要尝试弱口令爆破,弱口令字典在 kali
的 /usr/share/wordlists
目录中,于是使用九头蛇爆破,但是爆破了很久,可能爆破出了密码,但是可能由于网络连接问题,九头蛇没有显示出来,于是经过多次尝试,最终稿爆破成功,果然是网络问题,密码就在字典的前20个。
上去似乎是用户名密码,于是尝试SSH登录,但是登录失败,只能确定靶机的用户是gaara
,于是就需要尝试弱口令爆破,弱口令字典在 kali
的 /usr/share/wordlists
目录中,于是使用九头蛇爆破,但是爆破了很久,可能爆破出了密码,但是可能由于网络连接问题,九头蛇没有显示出来,于是经过多次尝试,最终稿爆破成功,果然是网络问题,密码就在字典的前20个。
所以啊走投无路就使用弱口令爆破。