VulnHub 靶机 Geisha: 1
Somemamgel / / Vulnhub / 阅读量

靶机描述

  • Machine Name: Geisha_Sun*

  • Author: SunCSR Team

  • Difficulty: Beginner to Intermediate

  • Tested: VMware Workstation 15.x Pro & VirtualBox 6.x (This works better with VMware rather than VirtualBox)

  • DHCP: Enabled

  • Goal: Get the root shell i.e.([email protected]:~#) and then obtain flag under /root).

  • Warning: Be careful with "rabbit hole".

  • Information: Your feedback is appreciated - Email: [email protected]

    靶机链接:https://www.vulnhub.com/entry/geisha-1,481/

信息收集

在 Kali 中可以使用 arp-scan 扫描局域网中的主机
sudo arp-scan -l
vulnhub_geisha_1.png

发现 192.168.217.147 这个 IP 地址是我们的靶机,接下来用 Nmap 扫描开放的端口
nmap -A -p- 192.168.217.147
vulnhub_geisha_2.png

80 端口开放 Apache 的服务,打开是一张图片,没有发现隐藏的信息
vulnhub_geisha_3.png
其他端口的服务也没有发现有用的信息

口令爆破

可以看到靶机开放了 ssh 服务,可以考虑用 hydra 进行口令爆破,用户名假定为 geisha
hydra -l geisha -P /usr/share/wordlists/rockyou.txt 192.168.217.147 ssh
vulnhub_geisha_4.png

获得 geisha 用户的密码 letmein

权限提升

登录后查看 sudo 权限失败
vulnhub_geisha_5.png

find 查找具有 suid 权限位的程序,看看能不能利用来提权
find / -perm u=s -type f 2>/dev/null
vulnhub_geisha_6.png

结果中的 /usr/bin/base32 比较可疑,看看命令的 help
vulnhub_geisha_7.png

可以知道 base32 能将文件或者标准输入流中的字符串进行 base32 编码并输出,于是我们可以考虑利用 base32 先加密再解密进行文件读取。
这里我们读取 /root/.ssh/id_rsa 即 root 用户的 ssh 私钥,这样我们复制下来就能以公钥方式登录靶机
base32 "/root/.ssh/id_rsa | base32 -d"
vulnhub_geisha_8.png

登录 root 用户并读取 /root 目录下的 flag.txt 文件

ssh [email protected] 或者

ssh -i [秘钥文件名] [email protected]

vulnhub_geisha_9.png

有 0 篇文章