CTF—攻防练习之ssh私钥泄露

攻防练习1 ssh私钥泄露

靶场镜像：链接: https://pan.baidu.com/s/1xfKILyIzELi_ZgUw4aXT7w 提取码: 59g0

首先安装打开靶场机

没办法登录，也没法获取ip地址，怎么办呢？

打开kali

进入控制台
使用netdiscover命令 netdiscover -r ip/子网掩码 命令来探测靶机

netdiscover -r 192.168.32.152/24

扫描开放的端口

我们可以看到靶场开放的端口和对应的服务，此靶场机器上开启了ssh服务和两个http服务，

接下来我们分析特殊端口，尤其对开放http服务的大端口（本靶机上31337端口开放了http服务）

怎么探测http端口信息？我们可以使用浏览器来浏览http服务的信息

探到5个隐藏文件

访问ssh和robots的目录

在taxes下发现flag1

再看ssh目录：

发现rsa的私钥和公钥信息

id_rsa是私钥和authorized_keys 是 认证关键字

我们发现在存在一个放私钥要key的目录可用下载

下载下来（公钥不用下载）
这里就是泄露的私钥

那么我们就去尝试与靶机建立ssh连接
对id_rsa 赋予权限 chmod 600 id_rsa

在key文件中我们能找到主机名

建立ssh连接：

ssh -i id_rsa simon@192.168.32.154

需要密码，那么我们可用通过破解私钥得到密码

ssh2john id_rsa >rsacrack

破解出来密码为starwars

连接成功！

进来看一看，有一个flag文件但，需要权限，我们也没有root权限

那么我们先查一下具有root权限的文件：
find / -perm -4000 2>/dev/null

好多东西。。

Root下也有给read_message文件打开看看

发现flag2一枚

int main(int argc, char *argv[]) {

char program[] = "/usr/local/sbin/message";

char buf[20];

char authorized[] = "Simon";

printf("What is your name?\n");

gets(buf);

// Only compare first five chars to save precious cycles:

if (!strncmp(authorized, buf, 5)) {

printf("Hello %s! Here is your message:\n\n", buf);

// This is safe as the user can't mess with the binary location:

execve(program, NULL, NULL);

} else {

printf("Sorry %s, you're not %s! The Internet Police have been informed of this violation.\n", buf, authorized);

exit(EXIT_FAILURE);

}

}

审计这段代码 发现

我们要执行readmessage

然后验证数组前5个字符，限定字符数为最多20个 ，前5个为Simon即可。

先打开

我们试着输20多个字符使其溢出

输入超过他缓存字符长度的字符 超出的部分为root权限的目录路径

获得root权限，发现flag