OverTheWire Bandit Writeup(11-20)

原创： Lof_x 合天智汇

昨天小编分享了OverTheWire Bandit Writeup （1-10），今天继续我们没说完的故事......

OverTheWire 是一个 wargame 网站。其中 Bandit 是一个适合学习Linux指令的游戏，主要是考察一些基本的 Linux 命令行操作 。规则是每一关利用提供的主机加端口和上一关得到的密码通过ssh进入指定的环境，按照要求拿到指定的key，而得到的key又作为下一关的密码。

网 站：

http://overthewire.org/wargames/bandit/

上回我们已经到了Level 10 ，得到的密码是 truKLdjsbJ5g7yyJ2X2R0o3a5HQJFuLk让我们继续，这部分的难度是中等。

Level 10 →11

描述：下一关的密码存储在 data.txt文件中，并且包含 base64编码数据

1. bandit10@bandit:~$ cat ./data.txt
2. VGhlIHBhc3N3b3JkIGlzIElGdWt3S0dzRlc4TU9xM0lSRnFyeEUxaHhUTkViVVBSCg
3. ==

得到一串base64加密的数据，这里需要我们解密，使用系统自带的 base64命令即可

1. bandit10@bandit:~$ cat ./data.txt | base64 -d
2. The
3. password
4. is
6. IFukwKGsFW8MOq3IRFqrxE1hxTNEbUPR

Level 11 →12

描述：密码存储在 data.txt文件中，但是里面的英文字母字符（A-Z/a-z）都被旋转了13位

这里涉及到一个非常古老的置换密码算法 ROT13，简单来说就是把原字母用它13位之后对应的字母代替，超过时则重新绕回26英文字母开头。A换成N、B换成O、依此类推到M换成Z，然后序列反转：N换成A、O换成B、最后Z换成M。

在linux中，使用 tr命令即可完成

1. bandit11@bandit:~$ cat ./data.txt
2. Gur
3. cnffjbeq vf
4. 5Gr8L4qetPEsPk8htqjhRK8XSP6x2RHh
5. bandit11@bandit:~$ cat ./data.txt | tr
6. 'A-Za-z'
8. 'N-ZA-Mn-za-m'
9. The
10. password
11. is
13. 5Te8Y4drgCRfCx8ugdwuEX8KFC6k2EUu

Level 12 →13

描述：密码存储在 data.txt文件中，是一个通过hexdump转换过的经过多重压缩过的二进制文件数据，也就是是一个16进制文件。这题主要考察的是linux下各种压缩文件命令的用法

提示可能用到的命令有：“grep, sort, uniq, strings, base64, tr, tar, gzip, bzip2, xxd, mkdir, cp, mv“

并且提示我们可以在/tmp下新建一个目录，把文件复制过去进行操作，可能是要操作步骤有点多吧~

第一步，先看看文件长什么样子

1. bandit12@bandit:~$ cat data.txt
2. 00000000
3. :
4. 1f8b
6. 0808
7. ecf2
8. 445a
10. 0203
12. 6461
14. 7461
16. 322e
17. ......DZ..data2.
18. 00000010
19. :
20. 6269
22. 6e00
24. 0149
26. 02b6
27. fd42
28. 5a68
30. 3931
32. 4159
33. bin..I...
34. BZh91AY

第二步，复制一份到//tmp/level13/(这名字随便你自己取了)

1. bandit12@bandit:~$ mkdir /tmp/level13
2. bandit12@bandit:~$ cp data.txt /tmp/level13/
3. bandit12@bandit:~$ cd /tmp/level13/

第三步，把16进制文件转回二进制文件，用 xxd命令

1. bandit12@bandit:
2. /tmp/
3. level13$ xxd -r data.txt data

第三步，使用 file命令确定文件的类型，然后使用相应的命令解压文件

1. bandit12@bandit:
2. /tmp/
3. level13$ file data
4. data: gzip compressed data, was
5. "data2.bin"
6. ,
7. last
8. modified:
9. Thu
11. Dec
13. 28
15. 13
16. :
17. 34
18. :
19. 36
21. 2017
22. , max compression,
23. from
25. Unix
26. bandit12@bandit:
27. /tmp/
28. level13$ mv data data.gz
29. andit12@bandit:
30. /tmp/
31. level13$ gzip -d data.gz
32. gzip: data.gz: decompression OK, trailing garbage ignored

第四步，重复上一步

1. bandit12@bandit:
2. /tmp/
3. level13$ file data
4. data: bzip2 compressed data, block size =
5. 900k
6. bandit12@bandit:
7. /tmp/
8. level13$ bzip2 -d data
9. bzip2:
10. Can
11. 't guess original name for data -- using data.out
12. bandit12@bandit:/tmp/level13$ file data.out
13. data.out: gzip compressed data, was "data4.bin", last modified: Thu Dec 28 13:34:36 2017, max compression, from Unix
14. bandit12@bandit:/tmp/level13$ zcat data.out > data2
15. bandit12@bandit:/tmp/level13$ file data2
16. data2: POSIX tar archive (GNU)
17. bandit12@bandit:/tmp/level13$ tar -xvf data2
18. data5.bin
19. bandit12@bandit:/tmp/level13$ file data5.bin
20. data5.bin: POSIX tar archive (GNU)
21. bandit12@bandit:/tmp/level13$ tar -xvf data5.bin
22. data6.bin
23. bandit12@bandit:/tmp/level13$ file data6.bin
24. data6.bin: bzip2 compressed data, block size = 900k
25. bandit12@bandit:/tmp/level13$ bzip2 -d data6.bin
26. bzip2: Can'
27. t guess original name
28. for
29. data6.bin --
30. using
31. data6.bin.
32. out
33. bandit12@bandit:
34. /tmp/
35. level13$ file data6.bin.
36. out
37. data6.bin.
38. out
39. : POSIX tar archive (GNU)
40. bandit12@bandit:
41. /tmp/
42. level13$ tar -xvf data6.bin.
43. out
44. data8.bin
45. bandit12@bandit:
46. /tmp/
47. level13$ file data8.bin
48. data8.bin: gzip compressed data, was
49. "data9.bin"
50. ,
51. last
52. modified:
53. Thu
55. Dec
57. 28
59. 13
60. :
61. 34
62. :
63. 36
65. 2017
66. , max compression,
67. from
69. Unix
70. bandit12@bandit:
71. /tmp/
72. level13$ zcat data8.bin > data9.bin
73. bandit12@bandit:
74. /tmp/
75. level13$ file data9.bin
76. data9.bin: ASCII text
77. bandit12@bandit:
78. /tmp/
79. level13$ cat data9.bin
80. The
81. password
82. is
84. 8ZjyCRiBWFYkneahHwxCv3wb2a1ORpYL

真是折腾啊~终于得到密码了

Level 13 →14

描述：进入下一关的密码存储在 /etc/bandit_pass/bandit14中，但是这个文件只有用户 bandit14 才能读取，在这一关，没有密码，但你可以通过ssh私钥登录到bandit14获得可以进入下一关的密码。

可能用到的命令：ssh, telnet, nc, openssl, s_client, nmap

从这一关开始考察linux网络管理方面的命令，比如ssh远程登录等

来看看有没有私钥，然后登录到 bandit14吧

1. bandit13@bandit:~$ ls -l
2. total
3. 4
4. -rw-r-----
5. 1
6. bandit14 bandit13
7. 1679
9. Dec
11. 28
13. 2017
14. sshkey.
15. private
16. bandit13@bandit:~$ ssh -i sshkey.
17. private
18. bandit14@localhost

登录成功，查看进入下一关的密码

1. bandit14@bandit:~$ cat /etc/bandit_pass/bandit14
2. 4wcYUJFw0k0XLShlDzztnTBHiqxU3b3e

Level 14→15

描述：将当前的密码提交到 localhot 的30000端口，就能获得下一关的密码

这很简单了，用telnet 登录 localhost 的30000端口，然后提交当前密码就行

1. bandit14@bandit:~$ telnet localhost
2. 30000
3. Trying
4. ::
5. 1.
6. ..
7. Trying
9. 127.0
10. .
11. 0.1
12. ...
13. Connected
14. to localhost.
15. Escape
16. character
17. is
19. '^]'
20. .
21. 4wcYUJFw0k0XLShlDzztnTBHiqxU3b3e
22. Correct
23. !
24. BfMYroe26WYalil77FoDi9qh59eK5xNr
25. Connection
26. closed
27. by
28. foreign host.

Level 15→16

描述：通过ssl加密传输当前密码，然后提交到 localhost 的30001端口就能获得下一关的密码

和前一关差不多啦，只是多了一个ssl加密传输，而且不能用telnet了，因为telnet是明文传输啊~

这里我们使用openssl 的sclient命令，sclient是一个SSL/TLS客户端程序，与sserver对应，它不仅能与sserver进行通信，也能与任何使用ssl协议的其他服务程序进行通信。

1. bandit15@bandit:~$ openssl s_client -connect localhost:
2. 30001
3. -ign_eof

-ign_eof：当输入文件到达文件尾的时候并不断开连接。

然后提交当前密码，得到进入下一关的密码

2. Verify
4. return
5. code:
6. 18
7. (
8. self
10. signed
11. certificate)
12. ---
13. BfMYroe26WYalil77FoDi9qh59eK5xNr
14. Correct
15. !
16. cluFn7wTiGryunymYOu4RcffSxQluehd
17. closed
18. bandit15@bandit:~$

Level 16→17

描述：将当前密码提交到 localhost 的 31000端口到 32000端口其中的一个端口，得到进入下一关的凭证。但只有其中一个端口开启了监听服务，并且需要通过ssl加密传输。

这一关看起来有点麻烦，难道一个个端口去尝试？这不符合我们的风格啊。

是时候祭出 nmap这个神器了。

先进行端口服务识别吧

1. bandit16@bandit:~$ nmap -A localhost -p31000-
2. 32000
3. ......
4. 31790
5. /tcp open ssl/unknown
6. | ssl-cert:
7. Subject
8. : commonName=bandit
9. .......

我们发现 31790 开启了监听，而且是ssl服务

给它密码吧

1. bandit16@bandit:~$ openssl s_client -connect localhost:
2. 31790
3. ......
4. cluFn7wTiGryunymYOu4RcffSxQluehd
5. Correct
6. !
7. -----
8. BEGIN
9. RSA PRIVATE KEY-----
10. MIIEogIBAAKCAQEAvmOkuifmMg6HL2YPIOjon
11. ......

返回了一段RSA私钥，这个就是进入下一关的凭证，我们把它复制下来，保存为 sshkey.private文件

1. bandit16@bandit:
2. /tmp$ mkdir /
3. tmp/bandit16
4. bandit16@bandit:
5. /tmp$ cd /
6. tmp/bandit16
7. bandit16@bandit:
8. /tmp/
9. bandit16$ vim sshkey.
10. private

然后使用私钥登录 bandit17

1. bandit16@bandit:
2. /tmp/
3. bandit16$ chmod
4. 600
5. sshkey.
6. private
8. bandit16@bandit:
9. /tmp/
10. bandit16$ ssh -i sshkey.
11. private
12. bandit17@localhost

Tips：这里必须要改私钥的权限，不然不让你登录的

Level 17→18

描述：有两个文件，分别是passwords.old 和 passwords.new，进入下一关的密码在 passwords.new 中，而且是 passwords.old中唯一被更改的一行。如果你已经解决了这个级别并且在尝试登录bandit18时看到'Byebye！'，这与下一级别有关。

可能用到的命令：cat, grep, ls, diff

考察点又回到了文件操作了？

很简单了，用 diff命令就可以了

diff是Unix系统的一个很重要的工具程序。它用来比较两个文本文件的差异

1. bandit17@bandit:~$ diff passwords.
2. new
3. passwords.old
4. 42c42
5. < kfBf3eYk5BPBRzwjqutbbfE887SVc5Yd
6. ---
7. >
8. 6vcSC74ROI95NqkKaeEC2ABVMDX9TyUr

kfBf3eYk5BPBRzwjqutbbfE887SVc5Yd 即为被修改了那行

1. bandit17@bandit:~$ ssh bandit18@localhost
2. ......
3. Byebye
4. !
5. Connection
6. to localhost closed.
7. ......

还真是诚不欺我啊，提示了Byebye ！接着看下一关怎么说

Level 18→19

描述：密码存储在家目录的 readme文件中，但是，但是，当使用SSH登录时，有人修改了”.bashrc“ 文件，导致你退出了。就是上一关提示的出现 Byebye ！。谁这么坑~~

~/.bashrc：该文件包含专用于你的bash shell的bash信息,当登录时以及每次打开新的shell时,该文件被读取.

估计是因为没有打开bash ，登录后没法为远程登录分配伪终端，所以导致退出了。

那要怎么登录呢？我们查找 ssh命令的帮助，找了 -T这个参数，这个参数的意思是”禁止分配伪终端“，意思就是不需要远程主机分配伪终端，来试试吧

1. bandit17@bandit:~$ ssh -T bandit18@localhost
2. id
3. uid=
4. 11018
5. (bandit18) gid=
6. 11018
7. (bandit18) groups=
8. 11018
9. (bandit18)

成功登录了

1. ls
2. cat readme
3. IueksS7Ubh8G3DCwVzrTd8rAVOwq3M5x

Level 19→20

描述：要访问下一关，你必须使用家目录下的setuid 可执行程序，在使用setuid 文件后，可以在 / etc / bandit_pass /中找到密码。

这一关考察的是linux文件权限的知识。如果一个二进制可执行程序拥有 SUID权限，那么其他用户执行这个程序的时候就拥有和文件所有者一样的权限。

1. bandit19@bandit:~$ ls -l
2. total
3. 8
4. -rwsr-x---
5. 1
6. bandit20 bandit19
7. 7408
9. Dec
11. 28
13. 2017
14. bandit20-
15. do

这个”bandit20-do“的权限是”rwsr-x---”，说明它就是那个拥有SUID权限的程序。

我们再看看“ /etc/bandit_pass/bandit20” 文件的权限

1. bandit19@bandit:~$ cat /etc/bandit_pass/bandit20
2. cat:
3. /etc/
4. bandit_pass/bandit20:
5. Permission
6. denied
7. bandit19@bandit:~$ ls -l /etc/bandit_pass/bandit20
8. -r--------
9. 1
10. bandit20 bandit20
11. 33
13. Dec
15. 28
17. 2017
18. /etc/bandit_pass/bandit20

发现只有“bandit20”用户可以读取，所以我们要借助“bandit20-do” 去调用“cat”命令查看文件内容

1. bandit19@bandit:~$ ./bandit20-
2. do
3. cat /etc/bandit_pass/bandit20
4. GbKksEFF4yrVs6il55v6gwY5aVje5f0j
5. -------------------
6. login bandit20
7. bandit19@bandit:~$ ssh bandit20@localhost

未完待续......