靶机渗透测试（Matrix_1）

靶机渗透测试（Matrix_1）：

Vulnhub靶机 Matrix_1
靶机：修改靶机的网络配置为桥接模式。
攻击机：Kali虚拟机，同样使用桥接模式，即可访问靶机。
靶机难度：（Intermediate）
目标：Your Goal is to get root and read /root/flag.txt.

---

---

渗透流程：

1. 探测靶机ip地址（netdiscover -i eth0 -r 网关）

探测出靶机ip为：192.168.10.82

---

---

2. nmap进行靶机端口服务扫描

命令： nmap -sS -Pn -A -p- -n 192.168.10.82
可以看出靶机开放了22/ssh, 80/tcp-http, 31337/http端口服务；

---

---

3. 根据端口服务进行渗透（80/tcp-http端口服务）

3.1. web页面渗透

访问80端口web页面：没有发现有用信息！！！

3.2. 目录扫描

dirb工具进行web目录扫描，未果，没有发现敏感目录！！！

3.3. 源代码查看

ctrl+u 查看一波源代码，发现源代码中存在一张png图片，点击是一张小白兔子，可以发现与80页面“follow the white rabbit”存在联系，仔细审计，发现图片后缀为31337.png，可以联想到靶机提示要从31337-http端口进行web渗透；

---

---

4. 端口渗透（31337/tcp-http端口服务）

4.1. 访问web页面

访问31337端口web页面！！！看到页面提示cypher，以及一行英文短句；

4.2. dirb目录扫描

dirb http://192.168.10.82:31337（此处爆破31337页面目录），同样没有发现敏感目录；

4.3. 源代码审计

同样姿势，查看源代码，发现一行代码，可以看出为base64加密，直接复制粘贴，扔进去解密；

可以看到解密后信息，echo一段短句进入了Cypher.matrix文件中！！

4.4. 目录文件下载

访问Cypher.matrix网页，存在一个.bak文件，直接下载，记事本打开后发现为BF编码（brainfuck编码）；

---

扔进BF在线解码器，可以看到输出：

you can enter into matrix as guest,with password k1ll0rXX;
意思是我们可以使用guest身份进入，密码为k1ll0rXX;

密码后两位隐藏，我们可以使用爆破工具进行爆破，例如：hydra九头蛇工具，或者msf爆破ssh密码；（前提字典要求大）！！！

或者使用crunch工具生成一个密码本，使用命令如下：
选择使用 lalpha-numeric 字符范围，包括a-z 0-9
生成8位字符字典，-f 指定字符集，-t 插入小写字符

crunch 8 8 -f /usr/share/crunch/charset.lst lalpha-numeric -t k1ll0r@@ > mima.txt

BF在线解码网站: https://www.splitbrain.org/services/ook

---

4.5. hydra九头蛇工具爆破

hydra九头蛇工具爆破ssh账号密码：

hydra -l guest -p mima.txt ssh://192.168.10.82 -f -vV -o hydra.ssh
-l 指定用户guest ，-P 指定字典 ，-f 爆破密码成功后停止
-vV 显示详细过程 -o将爆破成功信息保存到文件中

得到ssh账号密码： guest / k1ll0r7n

---

---

---

5. ssh连接靶机（22/tcp-ssh端口服务）

命令： ssh [email protected]

ssh 用户名@靶机ip

而后输入该user用户密码即可成功登陆；

发现是受限制的rbash，好多命令都不能使用，最后发现只有vi编辑命令可以使用，打开vi编辑，输入: :!/bin/bash命令，可以看到受限制的rbash变成了bash；

但仍然存在命令不可使用，原因是没有增加环境变量；
增加环境变量：

export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

---

---

6. 提权：

sudo su root
输入密码，成功提权至root权限，切换到root目录，查看flag.txt,得到flag！！！

---

---

实验总结：

受限shell rbash的绕过:

受限shell是LinuxShell限制一些bash shell中的功能，并且是从名字上很清楚.该限制很好地实现了命令以及脚本在受限shell中运行受限制的shell是说限制了一个shell的部分命令,像cd、ls、echo,或者是限制了一些环境变量,诸如SHELL、PATH、USER。

有些情况下,受限制的shell也会限制包含/的命令,或者限制一些输出符,像>、>>等。常见的受限制shell有:rbash、rksh、rsh。

通常来讲,构建一个受限制的shell通常处于以下目的:
1、提高操作系统的安全性
2、阻止攻击者,防止其进行后续的渗透
3、有时,系统管理员也会创建受限制的shell防止自己输入一些危险命令,影响业务
4、制作CTF题目(Root-me、hackthebox、vulhub)

设置受限制的shell方法：

1. 以 root 用户修改 /etc/passwd文件
   找到要使用受限用户的那行，将其后面的 bash 改为 rbash

2. 到 /bin 目录下， 将 bash 备份一份，然后将备份的 bash 改名为 rbash