CTF之SSH私钥泄露解题技巧（本地搭建实验环境渗透，内附...

Delina

原文链接：

CTF之SSH私钥泄露解题技巧（本地搭建实验环境渗透，内附免费CTF靶场）
一：SSH本地渗透靶场搭建

领取方法：关注本公众号，并在后台回复关键词“CTF-SSH”即可获得靶场链接
搭建方法更easy了，直接下载到本地解压后，用vmware打开本地的虚拟机文件即可，建议内存500M左右


二、正式开始
1.在kali攻击机里首先查看ip，ifconfig
​


2.用netdiscover -r192.168.0.1/24扫描该网段下所有主机使用ip和主机信息
​


如图，发现192.168.0.110对应的刚好是靶机，接下来使用nmap扫描端口
3、使用nmap -sV 192.168.0.110扫描该主机开放的端口
​


如图，发现除了常用的22和80端口外，还出现了一个陌生的31337端口，对该端口扫描
4、使用dirbhttp://192.168.0.110:31337扫描该端口的目录
​


如图，除了隐藏文件，还有一个robots.txt文件，用浏览器打开这个文件
​


发现有3个禁止搜索引擎访问的目录，继续用浏览器打开
至此，第一个flag已找到
5、继续访问.ssh目录
​

发现该目录下有公钥、私钥以及认证文件，将公钥和认证文件下载（直接在浏览器输入id_rsa）
为了方便，将下载的文件移动至桌面，打开私钥id_rsa
​
猜测用户名可能是simon，用ssh尝试连接
​
访问被拒绝，继续用私钥尝试连接
​

发现id_rsa没有权限，更改id_rsa的权限，继续尝试连接

​
​
此时，发现已经连接上了，但是需要密码，尝试3次密码后仍然错误，就需要想办法拿到密码。先将id_rsa转化成可被john识别的文件，用命令ssh2john 文件名 > 输出文件名，如果出现此命令文找到，就用python3/usr/share/john/ssh2john.py id_rsa > passwds
​
用zcat/usr/share/wordlists/rockyou.txt.gz | john --pipe --rules passwds或者john passwds将密码文件passwds破解
​
​

使用starwars作为密码登录
​

登进来之后查看路径
​
切换到root目录
​
用find / -perm -40002>/dev/null查找具有执行权限的文件
​

查看read_message.c
​

在这个文件中找到了第二个flag
阅读read_message.c的源码可知，当输入达到20个字符时将会发生溢出
​

拿到root权限后再次查看flag.txt
​
到此，就拿到了所有的flag。使用passwd 修改root密码后即可登入靶机
​