0%

Covfefe

本篇涉及ssh解密,内存溢出。
靶机难度:简单

信息收集

对目标靶机进行nmap扫描
nmap 192.168.2.140 -T5 -vv -A -sC -p- --script vuln -oN covfefe.nmap

可以发现目标机器打开了
80端口同时我们可以观察到它的服务版本属于nginx
31337端口是一个python脚本的轻量web
22端口 openssh7.4p1

nmap信息

先进去网站看看。
80nginx
没什么好看的,用dirb扫了一下网站路径也扫不出来。

把目标转到31337端口

404-notfound

虽然是404页面,但是如果用dirb扫一下的话,可以轻易的发现还是有些文件的,而且网站的根目录极有可能就在用户的家目录下

path1

访问一下http://192.168.2.140:31337/robots.txt看看能不能抓取更多信息。

robots

进去/taxes目录,找到我们的第一个flag。

根据dirb扫出来的目录信息,我们可以直接下载目标机器的id_rsa文件。
还有其他的文件,也可以下载下来看看,但是找不到什么有用的信息。根据id_rsa.pub文件可以看到目标的用户名是simon

simon

ssh密码解密

先尝试登录,但是很遗憾还是提示要密码
ssh
使用工具解密SSH密码
使用ssh2john解密出私钥密码的hash值.

格式
python ssh2john [hash_file]

ssh2john_1

使用他这段哈希值用john爆破.

john –wordlist=[wordlist_file] [hash_file]

john

得出密码为starwars

进去系统后,先进行信息枚举,找到系统里有的SUID位文件

suid

提权

可以发现一个read_message的二进制文件
执行一下

read_message

没发现什么有趣的东西,先进去/root下面可以看到我们的flag.txt

但是查看不了,提示我们没有权限。

asd

拿到flag2

观察这个源代码,会发现他可能可以溢出,执行一下。
输入
SimonAAAAAAAAAAAAAAA/bin/sh
因为它的长度是20,simon占了5位,给他填满15位的字符,后面就是我们要用到的执行语句了,只要执行了就能进入到root用户的shell权限了。

总结

在做这个靶机之前,拿到ssh私钥都不知道还要解密这一回事。。