首页 > 其他分享 >overthewire - Bandit

overthewire - Bandit

时间:2024-05-05 16:23:21浏览次数:29  
标签:bandit git Level oOo cat Bandit overthewire

随笔记

overthewire的密码会在一定周期更换。

Bandit Level 0

直接SSH连接2220端口

ssh -p 2220 bandit0@localhost

密码:bandit0

 ls 查看目录,看到readme,读取文件。

cat readme

获取bandit1密码

NH2SXQwcBdpmTEzi3bvBHMM9H66vVXjL 

 

Bandit Level 0 → Level 1

ls 查看目录下文件,发现文件名为"-" 使用双引号是无法查看的,使用绝对路径或者是相对路径就可以查看了。 这里的问题是“-”跟root的目录缩写是一样的,cd - 是可以直接到root目录,所以需要用路径去查看。 cat ./- rRGizSaX8Mk1RTb1CNQoXTcYZWU6lgzi

Bandit Level 2 → Level 3

访问带有空格的文件名,用转义字符\来转义空格即可,或者直接将文件名用双引号括住

cat "spaces in this filename"

cat spaces\ in\ this\ filename

aBZ0W5EmUfAf7kHTQeOwd8bauFJ2lAiG

Bandit Level 3 → Level 4

访问隐藏文件的技巧,先用cd进入文件夹,再用ls -al列出所有文件,

cat .hidden

2EW7BBsr6aMMoJ2HjW067dm8EgX26xNe

 

Bandit Level 4 → Level 5

 进入到inhere目录后,可以看到很多文件,有一个文件藏着密码,用file命令查看一下文件 file ./* cat ./-file07 lrIWWI6bB37kxfiCQZqUdOIYfr6eEeqR  

Bandit Level 5 → Level 6

 

进入到Bandit5的目录后发现目录里面有很多文件,根据提示,找到1033bytes的文件,用如下命令

find . -type -f -size 1033c

P4L4vucdmLnm8I7Vl7jG1ApGSfjYKqJU

Bandit Level 6 → Level 7

首先看题目的要求,bandit7的密码文件有3个属性:被用户bandit7所有,被用户组bandit6所有,并且拥有33字节,但是这个文件在哪里,我们不知道,这关还是考察find工具的使用,这三个属性都可以放到find命令的参数中去,如下

find / -user bandit7 -group bandit6 -size 33c

z7WtoNQU2XfjmMtWA8u5rN4vzqu4v99S

Bandit Level 7 → Level 8

 这个关卡的密码藏在millionth这个单词的后面

cat data.txt | grep millionth

TESKZC0XvTetK0S9xNwm25STk5iWrBvP

Bandit Level 8 → Level 9 

 题目,密码在data.txt文件中,只出现了一次,所以,只要用uniq命令就能找到这个密码,uniq要跟sort一起用,因为uniq是通过比较上下行字符串来判断是否重复,所以先sort再uniq cat data.txt | sort | uniq -u EN632PlfYiZbn3PhVK3XOGSlNInNE00t  

Bandit Level 9 → Level 10

 这一关的密码在很多个‘=’的后面,先用cat查看文件信息,输出是非常多的,但是很多不是human-readable的字符,可以用strings来过滤,strings命令在对象文件或二进制文件中查找可打印的字符串。字符串是4个或更多可打印字符的任意序列,以换行符或空字符结束。 strings命令对识别随机对象文件很有用。

 

strings ./data.txt

G7w8LIi6J3kTb8A7j9LgrywtEUlyyp6s

 

Bandit Level 10 → Level 11

 这一关非常简单,用base64解码data.txt就行 cat data.txt | base64 -d 6zPeziLdR2RKNdNYFNb6nVCKzphlXHBM  

Bandit Level 11 → Level 12

这一关考察是经典的ROT13加密

 cat data.txt | tr 'a-zA-Z' 'n-za-nN-ZA-M' JVNBBFSmZwKKOP0XbFXOoW8chDz5yVRv  

Bandit Level 12 → Level 13

 先查看这关的文件,又是data.txt,用cat查看文件,是16进制文件,看提示是repeatedly compressed,按照提示,我们先去tmp目录创建一个临时目录,因为权限的问题,我们只能在tmp目录下创建目录,然后我们把文件复制过去,注意,不要给后缀名 mktemp -d 创建tmp目录下的临时目录 利用xxd file 查看文件的属性,用相对的命令解压,然后得到密码 wbWdlBxEir4CaE8LaPhauuOo6pwRmrDw  

Bandit Level 13 → Level 14

 登录之后有ssh私钥使用私钥登录 ssh -i ./sshkey.private bandit14@localhost -p2220 cat /etc/bandit_pass/bandit14 fGrHPx402xGC7U7rXKDaxiWFTOiF0ENq  

Bandit Level 14 → Level 15

 这一关用nc把14的密码发送到30000这个端口 nc localhost 30000 发送 fGrHPx402xGC7U7rXKDaxiWFTOiF0ENq jN2kgmIXJ6fShzhT2avhotn4Zcka6tnt  

Bandit Level 15 → Level 16

 题目要求加密通信,使用openssl命令 openssl s_client -connect localhost:30001 发送 jN2kgmIXJ6fShzhT2avhotn4Zcka6tnt JQttfApK4SeyHwDlI9SXGR50qclOAil1  

Bandit Level 16 → Level 17

看题目,要求我们先扫描31000到32000端口,并且找到ssl的端口,用nmap可以扫描 nmap -sV localhost -p 31000-3200


PORT STATE SERVICE VERSION
31046/tcp open echo
31518/tcp open ssl/echo
31691/tcp open echo
31790/tcp open ssl/unknown
31960/tcp open echo

 

openssl s_client -connect localhost:31790 -ign_eof

获取到bandit17的ssh私钥,在tmp目录下创建临时目录,创建文件写入私钥。

赋权644,不赋权或者赋权777无法正常使用私钥。

chmod 644 key

ssh -i key bandit17@localhost -p 2220

cat /etc/bandit_pass/bandit17

VwOSWtCA7lRKkTfbr2IDh6awj9RNZM5e

Bandit Level 17 → Level 18

 登录17之后,查看目录,发现有两个文件,看提示说,修改过的一行就是密码,用diff命令查看修改过的一行 diff -d passwords.new passwords.old   hga5tuuCLF6fFzUpnagiMN8ssu9LFrdg  

Bandit Level 18 → Level 19

 

这一关直接登录的话,会显示一个“Byebye”,然后会话被关闭,原因是.bashrc被改动了,我们可以用带命令的ssh来查看文件或者是伪终端。


ssh -p 2220 bandit18@bandit.labs.overthewire.org "cat ./readme"

ssh -p 2220 bandit18@bandit.labs.overthewire.org -T

ssh -p 2220 bandit18@bandit.labs.overthewire.org "/bin/bash"
ssh -p 2220 bandit18@bandit.labs.overthewire.org "/bin/sh"
ssh -p 2220 bandit18@bandit.labs.overthewire.org "export TERM=xterm;python -c 'import pty;pty.spawn(\"/bin/bash\")'"

awhqfNnAbc1naukrpqDYcF95h7HoMTrC

Bandit Level 19 → Level 20

 setuid可以查看到用户权限,ls -al列出所有文件及权限,注意到bandit20-do是-rws-r-x---,这个文件有suid权限,也就是可以运行与创建者相同权限来运行程序,用它来读取Level 20的文件 运行文件提示  bandit20-do id 所以我们知道setuid是怎么用来提权的。 bandit20-do cat /etc/bandit_pass/bandit20 #获取bandit20密码 VxCazJaVykI6W36BkBU0mJTCM8rR95XT  

Bandit Level 20 → Level 21

 题目里有个描述,it makes a connection to localhost on the port you specify as a commandline argument, 也就是说这个suconnect可以连接指定的端口,但是我们要把密码给到这个端口 nc -lv < /etc/bandit_pass/bandit20 & ./suconnect 37469 发送 VxCazJaVykI6W36BkBU0mJTCM8rR95XT NvEJF7oVjkddltPSrdKEFOllh9V1IBcq

Bandit Level 21 → Level 22

这里我们查看一下cron.d这个文件夹,找到定时任务,我们找到bandit22执行了什么,继续查看.sh件,找到/tmp里面的文档,然后查看这个文件。

bandit21@bandit:~$ cat /etc/cron.d/cronjob_bandit22 #查看bandit22定时任务
@reboot bandit22 /usr/bin/cronjob_bandit22.sh &> /dev/null
* * * * * bandit22 /usr/bin/cronjob_bandit22.sh &> /dev/null
bandit21@bandit:~$ cat /usr/bin/cronjob_bandit22.sh #读取bandit22定时任务的脚本
#!/bin/bash
chmod 644 /tmp/t7O6lds9S0RqQh9aMcz6ShpAoZKF7fgv
cat /etc/bandit_pass/bandit22 > /tmp/t7O6lds9S0RqQh9aMcz6ShpAoZKF7fgv
bandit21@bandit:~$ cat /tmp/t7O6lds9S0RqQh9aMcz6ShpAoZKF7fgv #获取密码
WdDozAdTM2z9DiFEQ2mGlwngMfj4EZff 

 

Bandit Level 22 → Level 23

查看定时任务,利用里面的脚本获取密码

 cat /etc/cron.d/cronjob_bandit23 * * * * * bandit23 /usr/bin/cronjob_bandit23.sh &> /dev/null cat /usr/bin/cronjob_bandit23.sh


myname=$(whoami)
mytarget=$(echo I am user $myname | md5sum | cut -d ' ' -f 1)

echo "Copying passwordfile /etc/bandit_pass/$myname to /tmp/$mytarget"

cat /etc/bandit_pass/$myname > /tmp/$mytarget
bandit22@bandit:/etc/cron.d$ echo I am user bandit23 | md5sum |cut -d ' ' -f 1
QYw0Y2aiA672PsMmh9puTQuhoz8SyR2G

 

Bandit Level 23 → Level 24

 同样的,查看定时任务,利用里面的脚本获取密码,其实就是Linux提权的方法  cat /etc/cron.d/cronjob_bandit24  bandit24 /usr/bin/cronjob_bandit24.sh &> /dev/null

bandit23@bandit:/etc/cron.d$ cat /usr/bin/cronjob_bandit24.sh


#!/bin/bash

myname=$(whoami)

cd /var/spool/$myname
echo "Executing and deleting all scripts in /var/spool/$myname:"
for i in * .*;
do
if [ "$i" != "." -a "$i" != ".." ];
then
1 #!/bin/bash
echo "Handling $i"
owner="$(stat --format "%U" ./$i)"
if [ "${owner}" = "bandit23" ]; then
timeout -s 9 60 ./$i
fi
rm -f ./$i
fi
done

 

这里,我们看到这个脚本执行的任务是:切换到/var/spool/bandit24文件夹,然后遍历所有文件,并且执行这个文件,如果遇到用户是bandit23的话,先执行,持续一段时间,然后再删除文件。

我们先看一下/var/spool/bandit24这个文件的属性

drwxrwx-wx 62 root bandit24 4096 Jan 19 12:46 bandit24

bandit24同一个group是可以读写的,我们写一个脚本,把脚本拷贝到这个文件夹下,脚本很简单,如下,写完脚本后,一定要记得chmod +x ./get_pass.sh,不然不运行。

bandit23@bandit:/tmp$ vim ./get_pass.sh

#!/bin/bash

cat /etc/bandit_pass/bandit24 > /tmp/bandit24pass

cp ./get_pass.sh /var/spool/bandit24/foo

等待一段时间,获取密码

VAfGXJ1PBSsPSnvsjI8p759leLZ9GGar

Bandit Level 24 → Level 25

 这一关的提示是暴力破解,这里可以用好几种方式生成爆破密码,最简单的方式而且在很多机器上都可以执行的话,建议还是使用shell脚本或者python脚本,shell脚本在linux服务器上可以被顺利执行的可能性比较大,产生爆破密码的脚本如下

cd $(mktemp -d)

vim get_pass.sh

#!/bin/bash

b24='VAfGXJ1PBSsPSnvsjI8p759leLZ9GGar'
for i in {0000..9999};do
  echo "$b24 $i"
done | nc localhost 30002

chmod 644 

bash get_pass.sh

爆破成功之后获取密码

 

p7TaowMYrmu23Ol8hiZh9UvD0O9hpx8d

Bandit Level 25 → Level 26

 

登录bandit25,在主目录下面有bandit26的sshkey,用ssh -i 连接到bandit26,显示connection closed,重新看题目,shell有问题,不是/bin/bash,所以查看一下/etc/passwd,找一下bandit26的shell。

有个exit 0,被退出了…

这里要想办法,从这个shell的配置看,有一个more给我们用,所以我们把terminal缩小一点,这个时候more不会结束,然后我们按v,进入编辑模式,输入:e /etc/bandit_pass/bandit26

 获取密码

c7GvcKlw9mC7aUQaPx7nwFstuAIBw1o1

Bandit Level 26 → Level 27

 直接用密码登录26会出现跟25一样的情况,bash直接被退出,同样继续利用more的特性,我们缩小terminal,然后按v进入vi模式,这里,我们要用vi模式来呼唤出shell,这种方式也是一个经典的提权问题,只要系统给了一个可用vim编辑的sudo权限的文本,也可以通过这个文本的vi模式来提权。

:set shell sh=/bin/sh
:sh

$ ls
bandit27-do text.txt
$ ls -al
total 36
drwxr-xr-x 3 root root 4096 May 7 2020 .
drwxr-xr-x 41 root root 4096 May 7 2020 ..
-rwsr-x--- 1 bandit27 bandit26 7296 May 7 2020 bandit27-do
-rw-r--r-- 1 root root 220 May 15 2017 .bash_logout
-rw-r--r-- 1 root root 3526 May 15 2017 .bashrc
-rw-r--r-- 1 root root 675 May 15 2017 .profile
drwxr-xr-x 2 root root 4096 May 7 2020 .ssh
-rw-r----- 1 bandit26 bandit26 258 May 7 2020 text.txt
$ ./bandit27-do cat /etc/bandit_pass/bandit27
YnQpBuifNMas1hcUFk70ZmqkhUU2EuaS

Bandit Level 27 → Level 28

 

接下来的几个问题都跟git有关,git是非常重要的工具,git功能比较多,可以到git官方网站下载电子版的学习资料,官方提供了中文简体的版本。

这道题是用git把repo拖到本地,我们用git clone

cd $(mktemp -d)

git clone ssh://bandit27-git@localhost:2220/home/bandit27-git/repo

查看readme文件获取密码

AVanL161y9rsbcJIsFHuw35rjaOM19nR

 

Bandit Level 28 → Level 29

 git show 可以查看commit记录,最近的一次提交记录把密码改掉了,找到密码tQKvmcwNYcFS6vmPHIUSI3ShmsrQZK8S   cd $(mktemp -d)

git clone ssh://bandit28-git@localhost:2220/home/bandit27-git/repo

cd repo git show      

Bandit Level 29 → Level 30

 考察点是查看git的分支 cd $(mktemp -d)

git clone ssh://bandit29-git@localhost:2220/home/bandit27-git/repo

cd repo git branch -a git checkout dev cat README.md  xbhV3HpNGlTIdnjUrdAlPzc2L6y9EOnS

Bandit Level 30 → Level 31

 考察点是git的引用

同样,克隆repo到本地,然后看文件,这次好像什么都没有

bandit30@bandit:/tmp/tmp.Yi6XwaEdw7/repo$ git show-ref
d39631d73f786269b895ae9a7b14760cbf40a99f refs/heads/master
d39631d73f786269b895ae9a7b14760cbf40a99f refs/remotes/origin/HEAD
d39631d73f786269b895ae9a7b14760cbf40a99f refs/remotes/origin/master
831aac2e2341f009e40e46392a4f5dd318483019 refs/tags/secret

 git show 831aac2e2341f009e40e46392a4f5dd318483019

获取密码
OoffzGDlzhAlerFJ2cAiz1D41JW1Mhmt

Bandit Level 31 → Level 32

 考察点是提交文件到git


#生成文件key.txt
bandit31@bandit:/tmp/bandit31/repo$ echo 'May I come in?' >> key.txt
#加到本地文件
bandit31@bandit:/tmp/bandit31/repo$ git add -f ./key.txt
#查看一下是否是master
bandit31@bandit:/tmp/bandit31/repo$ git status
On branch master
Your branch is up-to-date with 'origin/master'.
Changes to be committed:
(use "git reset HEAD <file>..." to unstage)

new file: key.txt

#commit到本地仓库
bandit31@bandit:/tmp/bandit31/repo$ git commit -m 'key.txt'
[master 088ccca] key.txt
1 file changed, 1 insertion(+)
create mode 100644 key.txt
#push到远程origin master
bandit31@bandit:/tmp/bandit31/repo$ git push origin master
Could not create directory '/home/bandit31/.ssh'.
The authenticity of host 'localhost (127.0.0.1)' can't be established.
ECDSA key fingerprint is SHA256:98UL0ZWr85496EtCRkKlo20X3OPnyPSB5tB5RPbhczc.
Are you sure you want to continue connecting (yes/no)? yes
Failed to add the host to the list of known hosts (/home/bandit31/.ssh/known_hosts).
This is a OverTheWire game server. More information on http://www.overthewire.org/wargames
bandit31-git@localhost's password:
Counting objects: 3, done.
Delta compression using up to 2 threads.
Compressing objects: 100% (2/2), done.
Writing objects: 100% (3/3), 319 bytes | 0 bytes/s, done.
Total 3 (delta 0), reused 0 (delta 0)
remote: ### Attempting to validate files... ####
remote:
remote: .oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.
remote:
remote: Well done! Here is the password for the next level:
remote: rmCBvG56y58BXzv98yZGdO7ATVL5dW8y
remote:
remote: .oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.
remote:
To ssh://localhost/home/bandit31-git/repo
! [remote rejected] master -> master (pre-receive hook declined)
error: failed to push some refs to 'ssh://bandit31-git@localhost/home/bandit31-git/repo'

找到密码

rmCBvG56y58BXzv98yZGdO7ATVL5dW8y

Bandit Level 32 → Level 33

 $0可以到正常的shell,然后cat找密码

$ cat /etc/bandit_pass/bandit33
odHo63fHiFqcWWJG9rLiLDtPm45KzUKy

Q:为什么$0可以返回正常的shell A:

$0 的含义

在 Unix-like 系统的 shell 环境中,$0 是一个特殊的变量,用来表示当前正在执行的脚本或命令的名称。如果是在一个脚本中,$0 将显示该脚本的名称;如果是在命令行直接执行的命令,$0 通常显示 shell 的名称或路径。

如何使用 $0 返回正常的 shell

当你在 shell 中输入 $0 并执行时,实际上你是在请求启动一个新的 shell 实例,该实例的类型或路径由 $0 的值决定。例如,如果你在 bash 环境下输入 $0,通常会启动一个新的 bash shell。

示例

假设你的默认 shell 是 bash,并且你在终端中执行以下命令:

echo $0

这可能会输出:

/bin/bash

然后,如果你直接执行:

$0

这将启动一个新的 bash shell 实例。在这个新的 shell 中,你可以执行所有正常的命令,直到你退出这个 shell。

  参考文章: OverTheWire: Bandit通关指引-CSDN博客  

标签:bandit,git,Level,oOo,cat,Bandit,overthewire
From: https://www.cnblogs.com/TwoCousinElizabeth/p/18173578

相关文章

  • overthewire-natas
    一个训练web的小网站:https://overthewire.org/wargames/natas/类似于ctf题,不同的是拿到的不是flag而是下一道题的密码第一关给出了默认密码,进入后查看源码获得natas1密码:g9D9cREhslqBKtcA2uocGHPfMZVzeFK6  将url中的0改成1,使用natas1用户名和刚才的密码进入到natas1关卡......
  • CodeForces 960G Bandit Blues
    洛谷传送门CF传送门发现设排列最大值位置为\(i\),那么\([1,i]\)只可能存在前缀最大值,\([i,n]\)只可能存在后缀最大值。由此设\(f_{i,j}\)为长度为\(i\)的排列,前缀最大值有\(j\)个的方案数,有转移:\[f_{i,j}=f_{i-1,j-1}+(i-1)f_{i-1,j}\]意思是每......
  • OverTheWire攻关过程-Natas模块33
    我们打开关卡lv33,登陆查看信息是一个上传文件的页面应该是做了很多过滤查看源码//grazXeR,thefirsttosolveit!thanksforthefeedback!//~morlaclassExecutor{private$filename=""; //三个私有参数private$signature='adeafbadbabec0dedabada55ba55d00d......
  • CF960G Bandit Blues
    半个月前做的题,这段时间一直在颓所以没写题解,今天突然想起来才准备补上。考虑枚举最大值\(n\)的位置\(i\),那么排列就被分成\(2\)个段\([1,i-1]\)和\([i+1,n]\),而且\(\forallk\in[i+1,n]\),\(k\)不可能是前缀最大值;\(\forallk\in[1,i-1]\),\(k\)不可能是后缀最大值。......
  • Bandit靶场攻略实况
    Bandit靶场攻略实况前言:在开始攻略Bandit之前,我在这里给大家介绍一个学习linux命令的宝藏网站,有什么命令不懂,可以马上翻阅此网站!非常实用!网址:https://www.runoob.com/linux/linux-command-manual.html1. 打开MobaXterm终端模拟器,选择session2. 选择SSH,“Remotehost”为......
  • OverTheWire攻关过程-Natas模块9
    我们打开lv9,查看信息看到是搜索框搜索结果不显示查看下源码没有显示,奇怪打开bp没发现异常只能从搜索框来进行思考输入“”“会出现一大堆的字典奇怪要在这里做文章"natas10";cat/etc/natas_webpass/natas10好像有密码记录并且验证......
  • OverTheWire攻关过程-Natas模块8
    我们打开lv8,查看信息有一个验证框输入值显示错误将输入的值进行对比,相同就过我们将值输入错误查询下这些加密函数将数字装换下控制台不行然后查询函数反转字符串函数查询解码以下是过程,使用的都是在线工具16进制转换成字符串反转字符base64解码得到结果oubWYf2kBq提交得到密码验证......
  • OverTheWire攻关过程-Natas模块3
    我们打开lv3,查看信息没有信息我们右键源码发现没有匹配字样也没有信息查看大神思路访问下robots文件存在一个目录我们访问下目录发现有一个目录打开user文件得到密码验证密码......
  • OverTheWire攻关过程-Natas模块0
    我们来看下Natas模块的介绍机器翻译Natas教授服务器端web安全的基础知识.每个级别的natas都有自己的网站,位于http://natasX.natas.labs.overthewire.org,其中X是级别号。没有SSH登录。要访问某个级别,请输入该级别的用户名(例如,natas0为级别0)及其密码。每个级别都可以访问下一级别的......
  • OverTheWire攻关过程-Bandit模块33
    我们打开lv32-lv33,查看信息机器翻译在所有这些git的东西之后,是时候再次逃脱了。祝你好运!您可能需要解决此级别的命令嘘,伙计看来是需要sh命令先了解下sh命令我们登陆服务器查看信息已进入就是shell尝试了几个,发现不行输入$0可以得到正常的shellcat/etc/bandit_pass/bandit33得到密......