CtfStudying之SSH私钥泄露

8/23/19 SSH私钥泄露

对于只是给定一个对应ip地址的靶场机器，我们需要对其进行扫描，探测其开放服务。我原来理解的渗透就是找到目标的漏洞，然后利用这些（这种）漏洞，最后拿到机器的最高权限；其实我的理解的有误差：渗透其实是针对服务的漏洞探测，然后进行对应的数据包发送，通过构造畸形数据包获得异常回应，根据这些异常回应从而拿到机器的最高权限。

1.探测靶场ip：netdiscover -r ip/netmask  ,然后测试连通性

探测到靶场，且可ping通

2.扫描已开启的服务：namp -sV ip

分析结果：每一个服务对应一个端口，端口用来通信，如果看到特殊端口（3306），对其进行深入探测。比如那种大端口（http服务端口），就可采用某些手段进行访问。

3.发现开启http服务大端口，采用形式访问：http://ip:port/

查看一下大端口号31337

返回的对应界面没有flag值。先看看页面源代码吧。发现源代码里面也没有flag值：

4.探测是否有隐藏页面：dirb http://ip:port/

看到了比较敏感的.ssh和robots.txt文件

Robots.txt：存放搜索引擎允许或者不被允许的的文件

打开每一个文件试试，找到第一个flag：

5.Robots.txt目前没有价值了，继续挖掘ssh信息，不断访问获取更多泄露的ssh密钥信息。

ssh 的验证：客户端公钥与服务器私钥进行对比，对比成功则验证通过，可远程登录

打开ssh文件发现里面有三个内容，所以我们应该思考这三个内容里面了是否包含了更多的内容，继续加“/”，试一试可否下载

然后发现，我的天，居然全部都有内容且可下载：

公钥可以不下载，毕竟是任何人都可以访问的。

6.现在已经有了公钥和私钥，那么尝试登陆一下远程服务器

首先切换到存放这些文件的位置：

查看权限：ls -alh

查询结果：可读可写

然后开始尝试远程登录：ssh -i (私钥) 用户名@ip

结果发现，，没有用户名，然后我们就在我们下载好的认证文件里面找到了用户名

那么就是：ssh -I id_rsa simon@192.168.43.42

观察这三个点：告诉我们不能建立远程连接，只能识别，yes；644告诉我们权限不够；再一次告诉我们没有建立连接，权限拒绝。

7.可以识别但是连接无法建立，尝试提升权限：chmod 600 id_rsa

重新赋予读写权限，接下来重新登录：

但是这一次，又出现了新的关卡：需要输入连接密码，只有三次机会；但是我们不知道密码，只有一个私钥以及认证文件。我们可以通过这两个文件，看看是否有其他信息。进一步探取私钥信息

=======================================

在这里插播一个电脑小问题，我还是单独开一篇文章记录我这些充满神奇力量、能给我带来毁灭性惊喜的设备们吧。耳机OK，笔记本外放OK，但是二者相结合就是噩梦开始了：

笔记本声卡OK，耳机OK，但是耳机插进笔记本就是无声：

解决方案：控制面板—》这啥管理器—》设置—》选择单独（反正能让他重启就行了）

最后，见证奇迹的时刻，插头已塞入插孔！所以，每一个提醒，都应该关注一下下面的详情。。以防未来的惊喜我都找不到来源。。

8.进一步探取私钥信息：

解密ssh密钥信息

使用ssh2John 将id_rsa密钥信息转换为可识别的信息

ssh2john id_rsa > isacrack #使用John这个工具，将id_rsa 这个文件转化为isacrack这个文件，位置和前者相同；

解密该文件，利用字典解密isacrack信息，使用zcat这个工具：

zcat/usr/share/wordlists/rockyou.txt.gz |john –pipe –rules isacrack /#使用zcat来取得usr/share/wordlists/这个路径下，/rockyou.txt.gz的文件密码，管道标志符，使用John这个工具使用isacrack这个字典的规则

这个文件貌似只能开一次，然后密码就在starwars里面，接下来继续尝试登陆

9.使用starwars密码登陆：

Ssh -i (私钥) name@ip

登陆成功，还看到了robots.txt文件

但是我们还是没有获得想要的flag文件，务必记住root这个文件夹很重要

切到root目录下，发现有我们想要的flag文件，但是我们没有权限阅读：

这个时候的查看权限ls -alh，还有提权chmod命令就不管用了。。。因为这些命令只限于本机，或者说拿到靶机的很高的权限。

10.提升权限，Simon只是为普通用户，我们要得到root权限，所以我们要查看哪些文件具有root权限：

find /-perm -4000 2>/dev/null #从根目录开始，查找具有执行权限的文件（-perm 4000），避免错误输出（2>/dev/null）

注意啊，输入错误可能就是错误！

我们选择个人觉得有意义的文件进行查阅，从而进一步得出：

第二个flag出现：

这里有一段C语言代码，也有flag2，读出来了说不定就是flag值。理解代码的意思以后，运行代码

11.进一步提权，我们通过溢出（我自己想的？？），让程序执行非常规操作：

20字符/bin/sh #首先这个文件拥有root权限，其次我们将其切换到bin/sh这个远程文件夹里面，可建立远程连接（？？？）

第三个flag出现