OverTheWire Bandit Writeup (11-20) 15 Aug, 2018 行业新闻 OverTheWire Bandit Writeup (11-20) 小编分享了bandit10@bandit:~$ cat ./data.txt VGhlIHBhc3N3b3JkIGlzIElGdWt3S0dzRlc4TU9xM0lSRnFyeEUxaHhUTkViVVBSCg==得到一串base64加密的数据,这里需要我们解密,使用系统自带的 base64命令即可bandit10@bandit:~$ cat ./data.txt | base64 -dThe password is IFukwKGsFW8MOq3IRFqrxE1hxTNEbUPRLevel 11 →12描述:密码存储在 data.txt文件中,但是里面的英文字母字符(A-Z/a-z)都被旋转了13位这里涉及到一个非常古老的置换密码算法 ROT13,简单来说就是把原字母用它13位之后对应的字母代替,超过时则重新绕回26英文字母开头。A换成N、B换成O、依此类推到M换成Z,然后序列反转:N换成A、O换成B、最后Z换成M。在linux中,使用 tr命令即可完成bandit11@bandit:~$ cat ./data.txt Gur cnffjbeq vf 5Gr8L4qetPEsPk8htqjhRK8XSP6x2RHhbandit11@bandit:~$ cat ./data.txt | tr 'A-Za-z' 'N-ZA-Mn-za-m'The password is 5Te8Y4drgCRfCx8ugdwuEX8KFC6k2EUuLevel 12 →13描述:密码存储在 data.txt文件中,是一个通过hexdump转换过的经过多重压缩过的二进制文件数据,也就是是一个16进制文件。这题主要考察的是linux下各种压缩文件命令的用法提示可能用到的命令有:“grep, sort, uniq, strings, base64, tr, tar, gzip, bzip2, xxd, mkdir, cp, mv“并且提示我们可以在/tmp下新建一个目录,把文件复制过去进行操作,可能是要操作步骤有点多吧~第一步,先看看文件长什么样子bandit12@bandit:~$ cat data.txt 00000000: 1f8b 0808 ecf2 445a 0203 6461 7461 322e ......DZ..data2.00000010: 6269 6e00 0149 02b6 fd42 5a68 3931 4159 bin..I...BZh91AY第二步,复制一份到//tmp/level13/(这名字随便你自己取了)bandit12@bandit:~$ mkdir /tmp/level13bandit12@bandit:~$ cp data.txt /tmp/level13/bandit12@bandit:~$ cd /tmp/level13/第三步,把16进制文件转回二进制文件,用 xxd命令bandit12@bandit:/tmp/level13$ xxd -r data.txt data第三步,使用 file命令确定文件的类型,然后使用相应的命令解压文件bandit12@bandit:/tmp/level13$ file datadata: gzip compressed data, was "data2.bin", last modified: Thu Dec 28 13:34:36 2017, max compression, from Unixbandit12@bandit:/tmp/level13$ mv data data.gzandit12@bandit:/tmp/level13$ gzip -d data.gz gzip: data.gz: decompression OK, trailing garbage ignored第四步,重复上一步bandit12@bandit:/tmp/level13$ file datadata: bzip2 compressed data, block size = 900kbandit12@bandit:/tmp/level13$ bzip2 -d databzip2: Can't guess original name for data -- using data.outbandit12@bandit:/tmp/level13$ file data.out data.out: gzip compressed data, was "data4.bin", last modified: Thu Dec 28 13:34:36 2017, max compression, from Unixbandit12@bandit:/tmp/level13$ zcat data.out > data2bandit12@bandit:/tmp/level13$ file data2data2: POSIX tar archive (GNU)bandit12@bandit:/tmp/level13$ tar -xvf data2data5.binbandit12@bandit:/tmp/level13$ file data5.bindata5.bin: POSIX tar archive (GNU)bandit12@bandit:/tmp/level13$ tar -xvf data5.bindata6.binbandit12@bandit:/tmp/level13$ file data6.bindata6.bin: bzip2 compressed data, block size = 900kbandit12@bandit:/tmp/level13$ bzip2 -d data6.binbzip2: Can't guess original name for data6.bin -- using data6.bin.outbandit12@bandit:/tmp/level13$ file data6.bin.outdata6.bin.out: POSIX tar archive (GNU)bandit12@bandit:/tmp/level13$ tar -xvf data6.bin.outdata8.binbandit12@bandit:/tmp/level13$ file data8.bindata8.bin: gzip compressed data, was "data9.bin", last modified: Thu Dec 28 13:34:36 2017, max compression, from Unixbandit12@bandit:/tmp/level13$ zcat data8.bin > data9.binbandit12@bandit:/tmp/level13$ file data9.bindata9.bin: ASCII textbandit12@bandit:/tmp/level13$ cat data9.binThe password is 8ZjyCRiBWFYkneahHwxCv3wb2a1ORpYL真是折腾啊~终于得到密码了Level 13 →14描述:进入下一关的密码存储在 /etc/bandit_pass/bandit14中,但是这个文件只有用户 bandit14 才能读取,在这一关,没有密码,但你可以通过ssh私钥登录到bandit14获得可以进入下一关的密码。可能用到的命令:ssh, telnet, nc, openssl, s_client, nmap从这一关开始考察linux网络管理方面的命令,比如ssh远程登录等来看看有没有私钥,然后登录到 bandit14吧bandit13@bandit:~$ ls -ltotal 4-rw-r----- 1 bandit14 bandit13 1679 Dec 28 2017 sshkey.privatebandit13@bandit:~$ ssh -i sshkey.private bandit14@localhost登录成功,查看进入下一关的密码bandit14@bandit:~$ cat /etc/bandit_pass/bandit14 4wcYUJFw0k0XLShlDzztnTBHiqxU3b3eLevel 14→15描述:将当前的密码提交到 localhot 的30000端口,就能获得下一关的密码这很简单了,用telnet 登录 localhost 的30000端口,然后提交当前密码就行bandit14@bandit:~$ telnet localhost 30000Trying ::1...Trying 127.0.0.1...Connected to localhost.Escape character is '^]'.4wcYUJFw0k0XLShlDzztnTBHiqxU3b3eCorrect!BfMYroe26WYalil77FoDi9qh59eK5xNrConnection closed by foreign host.Level 15→16描述:通过ssl加密传输当前密码,然后提交到 localhost 的30001端口就能获得下一关的密码和前一关差不多啦,只是多了一个ssl加密传输,而且不能用telnet了,因为telnet是明文传输啊~这里我们使用openssl 的sclient命令,sclient是一个SSL/TLS客户端程序,与sserver对应,它不仅能与sserver进行通信,也能与任何使用ssl协议的其他服务程序进行通信。bandit15@bandit:~$ openssl s_client -connect localhost:30001 -ign_eof-ign_eof:当输入文件到达文件尾的时候并不断开连接。然后提交当前密码,得到进入下一关的密码 Verify return code: 18 (self signed certificate)---BfMYroe26WYalil77FoDi9qh59eK5xNrCorrect!cluFn7wTiGryunymYOu4RcffSxQluehdclosedbandit15@bandit:~$ Level 16→17描述:将当前密码提交到 localhost 的 31000端口到 32000端口其中的一个端口,得到进入下一关的凭证。但只有其中一个端口开启了监听服务,并且需要通过ssl加密传输。这一关看起来有点麻烦,难道一个个端口去尝试?这不符合我们的风格啊。是时候祭出 nmap这个神器了。先进行端口服务识别吧bandit16@bandit:~$ nmap -A localhost -p31000-32000......31790/tcp open ssl/unknown| ssl-cert: Subject: commonName=bandit.......我们发现 31790 开启了监听,而且是ssl服务给它密码吧bandit16@bandit:~$ openssl s_client -connect localhost:31790......cluFn7wTiGryunymYOu4RcffSxQluehdCorrect!-----BEGIN RSA PRIVATE KEY-----MIIEogIBAAKCAQEAvmOkuifmMg6HL2YPIOjon......返回了一段RSA私钥,这个就是进入下一关的凭证,我们把它复制下来,保存为 sshkey.private文件bandit16@bandit:/tmp$ mkdir /tmp/bandit16bandit16@bandit:/tmp$ cd /tmp/bandit16bandit16@bandit:/tmp/bandit16$ vim sshkey.private然后使用私钥登录 bandit17bandit16@bandit:/tmp/bandit16$ chmod 600 sshkey.private bandit16@bandit:/tmp/bandit16$ ssh -i sshkey.private bandit17@localhostTips:这里必须要改私钥的权限,不然不让你登录的Level 17→18描述:有两个文件,分别是passwords.old 和 passwords.new,进入下一关的密码在 passwords.new 中,而且是 passwords.old中唯一被更改的一行。如果你已经解决了这个级别并且在尝试登录bandit18时看到'Byebye!',这与下一级别有关。可能用到的命令:cat, grep, ls, diff考察点又回到了文件操作了?很简单了,用 diff命令就可以了diff是Unix系统的一个很重要的工具程序。它用来比较两个文本文件的差异bandit17@bandit:~$ diff passwords.new passwords.old42c42 kfBf3eYk5BPBRzwjqutbbfE887SVc5Yd ---> 6vcSC74ROI95NqkKaeEC2ABVMDX9TyUrkfBf3eYk5BPBRzwjqutbbfE887SVc5Yd 即为被修改了那行bandit17@bandit:~$ ssh bandit18@localhost......Byebye !Connection to localhost closed.......还真是诚不欺我啊,提示了Byebye !接着看下一关怎么说Level 18→19描述:密码存储在家目录的 readme文件中,但是,但是,当使用SSH登录时,有人修改了”.bashrc“ 文件,导致你退出了。就是上一关提示的出现 Byebye !。谁这么坑~~~/.bashrc:该文件包含专用于你的bash shell的bash信息,当登录时以及每次打开新的shell时,该文件被读取.估计是因为没有打开bash ,登录后没法为远程登录分配伪终端,所以导致退出了。那要怎么登录呢?我们查找 ssh命令的帮助,找了 -T这个参数,这个参数的意思是”禁止分配伪终端“,意思就是不需要远程主机分配伪终端,来试试吧bandit17@bandit:~$ ssh -T bandit18@localhostiduid=11018(bandit18) gid=11018(bandit18) groups=11018(bandit18)成功登录了lscat readmeIueksS7Ubh8G3DCwVzrTd8rAVOwq3M5xLevel 19→20描述:要访问下一关,你必须使用家目录下的setuid 可执行程序,在使用setuid 文件后,可以在 / etc / bandit_pass /中找到密码。这一关考察的是linux文件权限的知识。如果一个二进制可执行程序拥有 SUID权限,那么其他用户执行这个程序的时候就拥有和文件所有者一样的权限。bandit19@bandit:~$ ls -ltotal 8-rwsr-x--- 1 bandit20 bandit19 7408 Dec 28 2017 bandit20-do这个”bandit20-do“的权限是”rwsr-x---”,说明它就是那个拥有SUID权限的程序。我们再看看“ /etc/bandit_pass/bandit20” 文件的权限bandit19@bandit:~$ cat /etc/bandit_pass/bandit20cat: /etc/bandit_pass/bandit20: Permission deniedbandit19@bandit:~$ ls -l /etc/bandit_pass/bandit20-r-------- 1 bandit20 bandit20 33 Dec 28 2017 /etc/bandit_pass/bandit20发现只有“bandit20”用户可以读取,所以我们要借助“bandit20-do” 去调用“cat”命令查看文件内容bandit19@bandit:~$ ./bandit20-do cat /etc/bandit_pass/bandit20GbKksEFF4yrVs6il55v6gwY5aVje5f0j-------------------login bandit20bandit19@bandit:~$ ssh bandit20@localhost未完待续...... 合天智汇合天网安Writeupew