红队打靶:pWnOS1.0打靶思路详解之ssh私钥破解+shellshock漏洞提权

最新推荐文章于 2025-04-25 19:00:09 发布
原创 最新推荐文章于 2025-04-25 19:00:09 发布 · 1.7k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ssh #网络安全 #服务器 #linux #系统安全

本文详细介绍了如何通过红队笔记的视频进行靶机打靶,包括主机发现、SSH私钥穷举、免密登录及Shellshock漏洞利用来提权。作者首先利用webmin任意文件泄露获取ssh敏感文件,然后通过perl脚本找寻私钥,通过私钥登录SSH。最后,利用靶机bash的Shellshock漏洞,修改sudoers文件以实现提权。过程中遇到了文件解压错误、权限问题等挑战,但最终成功完成打靶。

目录

写在开头

第一步:主机发现与端口扫描

第二步:ssh敏感文件Authorized_keys获取与poc获取

第三步:私钥穷举

第四步:使用私钥免密登录SSH

第五步:shellshock漏洞提权

总结与思考

写在开头

 本篇博客根据大佬红队笔记的视频进行打靶,详述了打靶的每一步思路,并非复现writeup,读者耐心看完,定会有所收获。本文的打靶过程涉及到关于webmin任意文件泄露、ssh私钥碰撞、shellshock漏洞提权等。完整打靶思路详见:

「红队笔记」靶机精讲:pWnOS1.0 - 选择hard模式再次用完全不同的方法实现这台靶机的渗透测试。_哔哩哔哩_bilibili

有关webmin任意文件泄露漏洞的利用方式已在上一篇博客中详解过,详情见

红队打靶:pWnOS1.0打靶思路详解之webmin漏洞利用(vulnhub)

 靶机的下载与主机发现、端口扫描等步骤在上篇博客中已经详解过,本文不再复述。顺道一提,我感觉这个靶机的这种思路挺有趣的,就是难免遇到Bug,无论是ssh私钥的碰撞过程还是shellshock的漏洞利用过程的遇到了各种问题。看红队笔记打靶举重若轻,自己哪怕是照着复现都整了大半天。

第一步:主机发现与端口扫描

 上一篇写过了,见上文链接。

第二步:ssh敏感文件Authorized_keys获取与poc获取

perl 2017.pl 10.10.10.130 10000 /home/vmware/.ssh/authorized_keys 0

 读取的文件内容是:

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAzASM/LKs+FLB7zfmy14qQJUrsQsEOo9FNkoilHAgvQuiE5Wy9DwYVfLrkkcDB2uubtMzGw9hl3smD/OwUyXc/lNED7MNLS8JvehZbMJv1GkkMHvv1Vfcs6FVnBIfPBz0OqFrEGf+a4JEc/eF2R6nIJDIgnjBVeNcQaIM3NOr1rYPzgDwAH/yWoKfzNv5zeMUkMZ7OVC54AovoSujQC/VRdKzGRhhLQmyFVMH9v19UrLgJB6otLcr3d8/uAB2ypTw+LmuIPe9zqrMwxskdfY4Sth2rl6D3bq6Fwca+pYh++phOyKeDPYkBi3hx6R3b3ETZlNCLJjG7+t7kwFdF02Iuw== vmware@ubuntuvm

 可尝试针对这个公钥,找到私钥,实现免密登录。为啥这个私钥能被我们找到呢?因为恰巧这个版本的openssh存在的漏洞,可能的私钥只有端口号65535个,才可以被穷举出来。这个版本的openssh用了伪随机数获取密钥,我们可以用伪随机数生成器prng(pseudo random number generator)进行私钥的破解。

searchsploit prng 

searchsploit prng -m 5622.txt

 查看一下cat 5622.txt 

 然后我们wget下来:

可恶,怎么404了?最后通过我一系列的寻找,发现github上这个项目的位置改了,变为了bin-sploits/5622.tar.bz2 · main · Exploit-DB / Binary Exploits · GitLab 

因此我们的命令是:

wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/tree/main/bin-sploits/5622.tar.bz2

最低0.47元/天 解锁文章
Vulnhub-PwnOS v1.0靶机
C-HOWE的博客
04-02 375
首先通过信息收集发现该靶机10000端口的webmin存在文件读取漏洞,然后通过读取shadow文件信息,破解哈希或者ssh账号密码,最后再通过cgi
[vulnhub] pWnOS: 1.0
weixin_46099552的博客
09-25 1319
vulnhub
Linux之用户与OpenSSH安全
weixin_45490798的博客
10-20 1787
Linux之用户与OpenSSH安全
vulnhub靶场——pWnOS1.0
2302_81105681的博客
12-16 326
下载地址:https://download.vulnhub.com/pwnos/pWnOS_v1.0.zip首先使用nmap探测到靶机IP为172.16.8.135,开放的端口为22,80139,445,10000访问80端口没有找到线索,目录扫描一下试试发现了一个php目录,访问后发现是一个phpmyadmin的登录框,默认账号密码也没登进去,那就再找找其他线索使用nmap的漏扫试试果然这个10000端口有问题,访问一下是webmin的登陆页面使用searchsploit搜一下exp存在文件泄露漏洞下载
Vulnhub靶机系列:pWnOS: 1.0
汗的博客
03-29 2624
https://www.hackingarticles.in/hack-the-pwnos-1-0-boot-to-root/ 文章目录靶机地址利用知识信息收集Getshell 靶机地址 https://www.vulnhub.com/entry/pwnos-10,33/ tip:如果Vmware在首次引导时询问您是复制还是移动了该虚拟机,请单击MOVED!否则,网络设置可能会混乱。 利用知识...
009 - VulnHub靶机:pWnOS1.0学习笔记——文件包含+密码破解+Perl Cgi反弹shell + linux内核漏洞+shellshock漏洞
Windmill_的博客
04-27 2052
pWnOS1.0学习笔记——文件包含+密码破解+Perl Cgi反弹shell + linux内核漏洞+shellshock漏洞
红队笔记11pWnOS1.0打靶流程解法2-ssh免密登录-rsa私钥破解-shellshock(vulnhub)
qq_63442530的博客
04-03 1048
私钥爆破的时候其实是利用了特定版本的openssl的漏洞,只有65535种可能的私钥,这才能爆破出来,一般情况是没有这个漏洞的。shellshock漏洞我个人的理解是,cgi文件是一个bash环境文件,通过每一次的http请求cgi文件,都会转换成一次shell调用,其中在http请求包中的UA头中的数据会被cgi文件接收并执行,这也是shellshock利用中的:Attack CGI programs在红队笔记的视频中,文件泄露利用路径(auto_wordlists github上开源的敏感文件路径。
红队打靶pWnOS1.0打靶思路详解之webmin漏洞利用(vulnhub)
Bossfrank的博客
06-30 1798
本文详述了vulhub靶机pWnOS1.0打靶过程。涉及到知识点包括文件包含漏洞、webmin任意文件泄露、john密码破解、perl反弹shell等。靶机难度不高,但很精良,渗透过程环环相扣,每一步都逻辑清晰。
红队打靶:Narak打靶思路详解(vulnhub)
Bossfrank的博客
09-02 1894
本文是vulnhub靶机Narak的详细打靶过程,涉及到的知识点包括tftp协议的使用、dav工具的使用、brainfuck语句和motd脚本等。知识点很密,需要实操打靶才会有深刻理解。。
红队打靶:Troll1打靶思路详解(vulnhub)
Bossfrank的博客
07-06 1843
本文是vulnhub靶机Troll的详细打靶过程。涉及到的知识点包括FTP匿名登录、strings命令、密码喷射crackmapexec、定时任务等。靶机本身不复杂,但关键是有一些命令的操作。包括strings查看文件的文本信息、binwalk查看捆绑文件、file命令查看文件信息。如果不使用这些命令,可能会遗漏很多重要信息。
PWNOS: 1.0 解法一
Mysmycbx的博客
03-14 580
PWNOS1.0 解法一
vulnhub-----pWnOS1.0靶机
woshicainiao666的博客
03-22 755
首先拿到一台靶机,就需要知道靶机的各种信息(IP地址,开放端口,有哪些目录,什么框架,cms是什么,网页有什么常见的漏洞,如sql注入,命令执行,文件包含等…),及各种收集工具的使用。
PWNOS: 1.0 解法二
Mysmycbx的博客
03-15 451
etc/passwd里有四个用户,因为用户管理该靶机时,肯定用ssh和密码登录,也许不用ssh,如果用了就是一条新的路径。
小白的靶机VulnHub-pWnOS
wo41ge的博客
01-19 325
靶机地址:https://www.vulnhub.com/entry/pwnos-20-pre-release,34/ 这个靶机有点特殊 靶机默认设置: IP: 10.10.10.100 Netmask: 255.255.255.0 Gateway: 10.10.10.15 所以攻击机需要在10.10.10.0/24网段 所以新添加一个网段 将攻击机(KALI)和靶机 网络适配器都选到这个模式 靶机IP是固定的:10.10.10.100 开放了 22 和 80端口 上网页康康 ...
PWNOS:2.0(vulnhub靶机)
最新发布
hanjinming110的博客
04-25 1052
主要是学习渗透测试的思路
Vulnhub靶机 pwnos v2.0
菜浪马废的博客
04-25 645
先看一下80 ports=$(nmap -p- --min-rate=1000 -sT -T4 10.10.10.100 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//) nmap -sC -sV -p$ports -sT 10.10.10.100 爆破网站目录 找漏洞 发现以上内容 找漏洞 运行脚本 创...
linux ssh漏洞,Linux本地内核漏洞复现(CVE-2019-13272)
weixin_39522103的博客
04-30 338
Linux本地内核漏洞复现(CVE-2019-13272)一、漏洞描述当调用PTRACE_TRACEME时,ptrace_link函数将获得对父进程凭据的RCU引用,然后将该指针指向get_cred函数。但是,对象struct cred的生存周期规则不允许无条件地将RCU引用转换为稳定引用。PTRACE_TRACEME获取父进程的凭证,使其能够像父进程一样执行父进程能够执行的各种操作。如果恶意...
hackthebox-shock(考点:shellshock & perl
冬萍子癸水
04-10 599
nmap 看80,就一张图片,没啥东西,ctrl+u也没发现价值东西 dirbuster扫,扫很久就/cgi-bin。没有突破点啊。 /cgi-bin和shellshock漏洞有关联,看看是不是他 只要cgi里面有脚本文件即可被利用,比如sh等 那就再拿dirbuster扫cgi-bin目录,加上扫sh/pl/py/cgi 这些后缀 果然有个sh文件 这个漏洞挺有名,有很多工具,我选择这个 p...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Boss_frank

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值