CTF之Five86-1靶机渗透实战

靶机地址：http://www.vulnhub.com/entry/five86-1,417/

本文涉及知识点实操练习：Linux下的字典生成工具Crunch和crunch命令详解

最后就要用大名鼎鼎的hashcat去破解这个HASH，命令格式hashcat [options]... hash|hashfile|hccapxfile [dictionary|mask|directory]...，这里使用的命令为hashcat -m 1600 -a 0 -o res hash.txt pass.txt

-m是HASH类别，-a是攻击方式，-o是输出结果，更多的参数可以参考Hashcat密码破解攻略。这里在kali里面运行一直报错，就转移到wsl2里面了，命令hashcat -m 1600 -a 0 -o res hash.txt pass.txt --force

最终密码为 fatherrrrr

或者这里也可以使用john来进行破解john --wordlist=pass.txt hash.txt，但是速度可能有丶问题

使用ssh连接ssh douglas@192.168.56.5

这里是个TTY，但还是存在权限控制，使用sudo -l看一下可以使用什么命令，结果是(jen) NOPASSWD: /bin/cp，这里就有点奇怪了，douglas可以用jen的身份运行cp命令

先去访问一下home目录，发现douglas和jen这两个用户，但是只能用jen的cp命令，且没有jen的密码

值得注意的是，如果jen用户下的/home/jen/.ssh/authorized_keys包含douglas的公钥，那就可以用douglas的id_rsa文件登陆jen的ssh，也即免密登陆jen的ssh。这里复制到/tmp目录下是因为jen没有权限访问douglas目录下的文件

cp .ssh/id_rsa.pub /tmp/authorized_keys
chmod 777 /tmp/authorized_keys 
sudo -u jen /bin/cp /tmp/authorized_keys /home/jen/.ssh/

然后用ssh连接ssh -i id_rsa jen@127.0.0.1

成功登陆jen，看到提示mail，还是先执行echo $(find / -type f -user jen) > 1.txt看一下，有一个/var/mail/jen的文件可以读取

或者这里直接输入mail的命令也可以看到

读取一下，其内容如下

关键词：change Moss's password、his password is now Fire!Fire!

接着ssh连接moss用户ssh moss@127.0.0.1

在当前目录发现了一个隐藏目录.games，访问后发现一个root权限的二进制文件upyourgame

运行之后就发现自己神奇的变成root用户辣

最后，flag在/root中，为8f3b38dd95eccf600593da4522251746

彩蛋时刻，其实在拿到douglas的密码之后就可以用虚拟机登陆，然后操作，这里是用的moss的账号密码，也是同样的效果