上文说到拿下了第二个靶机的root权限,今天的目标是拿到第三个靶机,也是最后一个靶机的root权限。先在第二个靶机(靶机2)上找一找渗透第三个靶机(靶机3)的线索吧。
我在靶机2的/root/目录中扫荡一番后发现了用26个字母逐级建立的目录结构。在末节点目录中有两个文件,其中有一个nleeson_key.gpg文件。千万不要当成是jpg或jpeg图片文件,这里科普一个RSA算法的加密解密工具-GnuPG软件(简称GPG)。1991年,程序员Phil Zimmerma**nn为了避开政府监视,开发了加密软件PGP。这个软件非常好用,迅速流传开来,成了许多程序员的必备工具。但是,它是商业软件,不能自由使用。所以,自由软件基金会决定,开发一个PGP的替代品,取名为GnuPG。这就是GPG的由来。GPG不包含专利算法,能够无限制的用于商业应用。
**
在目录中还有另外一个文件,我们先查看一下文件内容吧,cat该文件后,只是显示一串字符:joshua。
靶机上自带了gpg工具,那我们就用gpg解密该文件。在解密过程中,需要密码,密码在前文提到的youtube视频中有提示,j就是“secret”。
从上面两幅截图我们看出了什么?密钥啊!密钥怎么用?之前的渗透文章详细讲过ssh使用密钥文件登陆远程系统的。那就把密钥串制作成密钥文件吧。我们拷贝密钥字符串并使用cat重定向写入rsa-key文件里。剩下的就是ssh登陆了。
ssh远程登陆的用户名是什么?key的密码什么?根据前面收集到的一些信息,根据nleeson_key.gpg的文件命名可以联想到用户名可能就是nleeson,密码呢?还记得之前跟nleeson-key.gpg在一起的那个文件么?它的内容是简单一个字符串joshua,它会是密码吗?试试就知道了,用户名nleeson,密钥rsa-key,私钥密码joshua,靶机3的IP之前提过,如下图所示:
我们现在已经进入靶机3的地界儿了,剩下的任务就是完全拿下!我在靶机的各个文件目录里往返穿梭,没能找到什么可疑的。那么靶机2的提权方法能否用在靶机3上呢?我把靶机2的根目录下的tmp目录里的spin拷贝到靶机3相应目录中,拷贝方法还是前面提到的netcat方法,这个方法简单高效,推荐大家用它进行小文件传送,具体过程如下图所示。
拷贝完后,发现运行spin没有达到提权root的效果。倒腾好半天,当我看到下面这句话后,我有点思路了。
返回靶机2仔细看了看配置文件,在靶机2上与spin匹配的配置文件如下图所示。
那么靶机3上相应的配置文件就如法炮制,修改/etc/puppet/ modules /fiveeights/manifests目录下的init.pp文件,原文件内容如下图所示。
修改后如下图所示。然后在靶机3上运行spin二进制程序就可以成功root提权了!剩下的就是找flag的收尾工作了。
我们在root目录里找到了一个图片文件,如下图所示。使用隐写工具steghide查看一下图片。靶机3上没有装这个工具,这个难不倒人,只是需要费点周章拷贝到kali上就是了。关于图片的隐写技术,今后有机会我专题与大家交流探讨。三个靶机到目前为止已经全部拿到了root权限,按照原先的规矩任务算是完成了,不过这次的靶机还需要破解这个图片中隐藏信息才算结束,暂且搁置,以后有空再杀个回马枪吧。非常感谢朋友们的支持和关注。
