靶场实战(13)：OSCP备考之VulnHub GAARA

打靶思路

1. 资产发现

   1. 主机发现

   2. 服务发现

2. 漏洞发现（获取权限）

   1. 80端口/HTTP服务

      1. 组件漏洞

      2. URL漏洞

   2. 22端口/SSH服务

      1. 组件漏洞

      2. 口令漏洞

   3. 80端口/HTTP服务

   4. 22端口/SSH服务

3. 提升权限

   1. gaara用户

      1. sudo

      2. suid

1、资产发现

1.1、主机发现

本次靶机GAARA^[1]指定攻击IP，不涉及主机发现过程。

1.2、服务发现

使用命令sudo -u root 172.16.33.69 -n -Pn -p- --reason -sV -sC -O，获取主机开放的端口、提供的服务、使用的组件、组件的版本。

使用命令sudo -u root nmap 172.16.33.69 -n -Pn -sU --reason -sV -sC，无收获。

最终整理如下：

开放的端口	提供的服务	使用的组件	组件的版本
22/tcp	ssh	OpenSSH	7.9p1
80/tcp	http	Apache httpd	2.4.38
-	os	Debian Linux	?

2、漏洞发现（获取权限）

2.1、80端口/HTTP服务

2.1.1、组件漏洞

0x01、Web中间件

使用命令searchsploit Apache httpd 2.4.，未发现Web中间件Apache httpd 2.4.38的Nday漏洞。

0x02、Web框架

使用浏览器插件Wappalyzer，未发现存在Nday漏洞的Web框架。

2.1.2、URL漏洞

0x01、直接访问

浏览器直接访问http://172.16.33.69/，只有一张加载不出来的图片。

0x02、目录扫描

使用命令dirsearch -u http://172.16.33.69/扫描网站的目录和文件，无收获。

使用命令dirb http://172.16.33.69/扫描网站的目录和文件，无收获。

使用命令gobuster dir -u http://172.16.33.69/ -w 字典，使用字典/usr/share/seclists/Discovery/Web-Content/directory-list-lowercase-2.3-small.txt和/usr/share/seclists/Discovery/Web-Content/directory-list-lowercase-2.3-medium.txt扫描网站的目录和文件，无收获。

0x03、模糊测试

基于目前已知信息，没有对网站的目录和文件进行FUZZ的必要。

2.2、22端口/SSH服务

2.2.1、组件漏洞

使用命令searchsploit OpenSSH 7.，未发现组件OpenSSH 7.9p1的Nday漏洞。

2.2.2、口令漏洞

使用命令hydra -C /usr/share/seclists/Passwords/Default-Credentials/ssh-betterdefaultpasslist.txt 172.16.33.69 ssh，未发现弱口令。

使用命令cewl http://172.16.33.69/获得关键词gaara，分别作为SSH服务的账号和密码进行弱口令爆破，无收获。

到这其实已经没招了。1.2的服务发现阶段，扫描了65535个TCP端口和1000个UDP端口，基本不会漏；2.1的80端口/HTTP服务阶段，使用3个工具扫描了4个字典，基本也不会漏；2.2的22端口/SSH服务阶段，除了通用字典扫描，还收集了网站关键字gaara进行扫描，基本也不会漏。

如果要突破，只能重复这3个方面，以及用更大更好的字典去爆破了。查阅WriteUp，果然如此。HTTP服务使用字典/usr/share/seclists/Discovery/Web-Content/directory-list-2.3-small.txt，或者SSH服务使用字典/usr/share/wordlists/rockyou.txt，都可以取得突破。

2.3、80端口/HTTP服务

字典/usr/share/seclists/Discovery/Web-Content/directory-list-2.3-small.txt有22万条内容，其中肯定有之前4个字典已经扫描过的内容，再扫一次有点多余。因此删掉前面扫描过的内容，最终剩下3万条，使用命令gobuster dir -u http://172.16.33.69/ -w 字典，最终发现/Cryoserver文件。

浏览器访问http://172.16.33.69/Cryoserver，滑到最底下，发现3个URL信息，逐个打开发现内容几乎一样。

使用BurpSuite的Comparer功能，发现Temari和Kazekage内容一样，但iamGaara相比两者多了一串神秘字符 f1MgN9mTf9SNbzRygcU。