HTB靶机练习-redis+ssh密钥解密

HTB靶机练习-1

 

1. 打开网页

没有点击按钮，然后查看网页源代码，不出所料，一无所获。

1. 一把梭

        端口扫描：

    看着端口：

6379 redis，未授权。

22．  Ssh.     爆破。

10000 Webmin   存在远程命令执行

目录扫描：

无果。

    

    利用kali searchsploit 进行查看服务存在的漏洞：

ssh  爆破无果，其余两种服务都可以进行命令执行。 

Webmin 需要用户名和密码。先放弃，先使用redis 进行测试。

1. redis 测试

关于redis 未授权，因为不太了解，很多参数可能不太明白，特意查了查。

攻击机：kali。安装redis tools。：apt-get install redis-tools

1. 1探测是否支持外部连接。发现支持外部连接。

     远程连接：redis-cli -h ip

      命令介绍：

    

    config  set  命令可以动态地调整 Redis 服务器的配置(configuration)而无须重启，实时修改参数

    config  get  命令用于获取 redis 服务的配置参数  >2.0.0，可以修改的配置参数可以使用命令 CONFIG GET * 来列出

    Info  信息查看

    Redis2.8以后的版本还可以看到Redis配置文件的绝对路径

查看配置参数：config get *

具有redis的.ssh路径，也就是说，如果我们可以编写ssh公钥，则可以使用私钥以redis名称进行身份验证和ssh认证。

创建密钥：

把公钥上传到redis服务器。

将公钥导入key.txt文件，前后用n换行，避免和Redis里其他缓存数据混合

把key.txt文件内容写入redis 服务器。

cat /root/.ssh/key.txt | ./redis-cli -h 10.10.10.160 -x set xxx

参数：-x   代表从标准输入读取数据作为该命令的最后一个参数。

          xxx. 任意命名。

  

成功写入

登陆查看。进行文件名更改和路径配置。进行key查看

Ok 进行免密登陆。

 如何找到需要的flag呢。看着那么多文件发了愁。灵机一动看看历史记录。

 一眼看到 Matt 用户、Scan.py、 id_rsa.bak。

 Scan.py 应该是一个扫描的不去看。

 去找一个Matt ,发现里面存在一个txt， 没有权限查看，有猫腻。

  

Id_rsa.bak 看着是一个密钥备份。通常会藏着ssh的密钥。

进行解密：

    需要ssh2john和john，

1.  转换成哈希
2. 进行解密。

     发现目标没有安装john,复制到本地。如上图。

1．转换成哈希

/usr/share/john/ssh2john.py test.txt > test1.txt

2．进行解密。

默认john 字典没有跑出来。这里使用kali 的超大字典。Rackyou.txt

进行登陆

 

4.使用端口10000 webmin 提权

使用msf中的模块

 use exploit/linux/http/webmin_packageup_rce

 

 

 

 

　　

 

原文始发于微信公众号（极梦C）：HTB靶机练习-redis+ssh密钥解密