此靶场一共有3个flag,我们要掌握的技术是ssh免密登录和溢出提权知识点。
首先你要确保kali和covfefe靶机在同一个环境下(我两个接口都是用的NAT模式)
只有确保kali攻击机和covfefe靶机都在同一环境下我们才能够做信息收集工作。
1.1主机扫描,发现有用的信息。
首先确定kali的IP地址,由于两个靶场都是在NAT模式下,它们处于同一网段。所以我们直接扫描kali攻击机的网段。就能知道靶机的IP地址。
命令:nmap -sP 192.168.5.0/24(网段)
kali 的IP地址是192.168.5.164,那么靶场的IP地址就是192.168.5.163。
1.2 端口扫描。
由于我们知道靶机的IP地址,直接进行端口扫描。
命令:nmap -sS IP 或者 nmap -p- IP 或者 nmap -A IP
我们能看到许多有用的信息。也发现了靶场有三个端口是开放的,分别是22,80,31337端口。而22端口是SSH服务搭建起来的,80和31337端口都是http服务。
1.3网站信息收集
80端口的网页信息。
显示的就是nginx的主页,这些信息没什么大用。查看一下页面源代码,看看能发现什么有用的信息。发现没有什么用。
访问31337端口的页面。并且查看页面源代码。发现依旧没有什么有用的信息。
两个端口都没有可用信息。
1.4对网站后台进行扫描
扫描网站可以用菜刀,御剑,kali里面的dirb等。
dirb 网址(dirb http://192.168.5.163:80)
扫描80端口的网页后台。
扫描31337端口的页面后台。
我们能发现在31337端口发现敏感目录及文件。
./bash_history
.bashrc
.profile
.ssh
robots.txt
1.5依次对他们进行访问。
访问 ./bash_history
访问 .bashrc
访问 .profile
访问 .ssh
访问 robots.txt
我们发现robots.txt中存在一个新的目录 /taxes,还发现.ssh中有三个不一样的东西。
去看看taxes目录下有什么。
我们可以看到,我们已经成功的拿到第一个旗,但是这个好像没有什么用。得想想其他的办法。
2.1访问.ssh下的三个文件。
我们访问id_rsa时,发现需要密码。
我们访问authorized_keys看看。
接着访问id_rsa.pub
到这里来,我们不禁会想到私钥和公钥。id_rsa就像是私钥钥,id_rsa.pub就像是公钥,并且还都出现了simon这个类似账号的名字。
2.2破解id_rsa
使用ssh2john将id_rsa转化为hash格式,然后使用john进行破解。
命令1:ssh2john id_rsa > ./key # ./key表示会在当前目录下生成一个key的文件
命令2:john key
我们能够看出id_rsa的密码为starwars 。
2.3ssh免密登录
使用ssh连接,发现权限不够
先给id_rsa 权限
命令:chmod 600 id_rsa
然后使用ssh连接。
命令: ssh -i id_rsa simon@192.168.5.163
输入刚刚得到的密码starwars,成功登录。
3.1信息收集
查看root目录,flag目录无权限,read_message.c文件中发现flag2
这里发现flag2和其他的信息。
从read_message中,我们能够得到一些信息,分析出来发现这里有着溢出提权的漏洞。
3.2提权。
①发现gets()函数获取输入,该函数存在缓冲区溢出问题
②使用strncmp()函数进行字符串比较,但只比较前面五位。
③buf数组存储20位数据。
我们只需要前五位输入simon然后随意输入15位填充,然后输入溢出提权 /bin/sh内容。
接下来直接运行这个c程序。照着打就能提权成功了
最后成功获取到三个flag。通关!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/bian-cheng-ji-chu/106356.html