How to find the hidden file and login SSH through private key – Nebula 05

บทนำ (Overview)

บทความนี้จะกล่าวถึงวิธีการหาไฟล์ที่ตั้งชื่อขึ้นด้วย “.” จากนั้นลองตรวจสอบหาข้อมูลสำคัญดังกล่าวว่ามีอะไรบ้าง ที่พอจะใช้สำหรับการเข้าถึงหรือยกระดับสิทธิตัวเอง และสุดท้ายวิธีการ “Login” ผ่าน “SSH” โดยใช้ “Private Key”

ขั้นตอน (Steps)

1. ดาวน์โหลด “VM” ได้จาก https://exploit-exercises.com/download/
2. “Login” โดยใช้ “User” คือ “level05” และ “Password” คือ “level05”
3. โดยวัตถุประสงค์เราจะยกระดับสิทธิจาก “level05” เป็น “flag05”
4. ทดลองเข้าโฟลเดอร์ “flag05” ปรากฏว่าไม่พบอะไรเลยดังนี้

   ls -l
   total 0
   

5. ที่นี้ลองใช้ “options -al” เรายังพบโฟลเดอร์และไฟล์ขึ้นต้นด้วย . เพิ่มเติมดังนี้

   level05@nebula:/home/flag05$ ls -al
   total 5
   drwxr-x--- 4 flag05 level05   93 2012-08-18 06:56 .
   drwxr-xr-x 1 root   root     140 2012-08-27 07:18 ..
   drwxr-xr-x 2 flag05 flag05    42 2011-11-20 20:13 .backup
   -rw-r--r-- 1 flag05 flag05   220 2011-05-18 02:54 .bash_logout
   -rw-r--r-- 1 flag05 flag05  3353 2011-05-18 02:54 .bashrc
   -rw-r--r-- 1 flag05 flag05   675 2011-05-18 02:54 .profile
   drwx------ 2 flag05 flag05    70 2011-11-20 20:13 .ssh
   

6. ไล่ตรวจสอบโฟลเดอร์และไฟล์ที่เรามีสิทธิเข้าถึง ทดลองเข้าไปโฟลเดอร์ “.backup”

   level05@nebula:/home/flag05$ cd .backup
   level05@nebula:/home/flag05/.backup$ ls -l
   total 2
   -rw-rw-r-- 1 flag05 flag05 1826 2011-11-20 20:13 backup-19072011.tgz
   

7. พบไฟล์ “zip” ที่มีนามสกุล “.tgz”  ที่นี้เราลองแตกไฟล์ไปยังโฟลเดอร์ที่เขียนได้ซึ่งก็คือ “/tmp”

   level05@nebula:/home/flag05/.backup$ cp backup-19072011.tgz /tmp/test.tgz
   level05@nebula:/home/flag05/.backup$ ls -l /tmp/test.tgz
   -rw-rw-r-- 1 level05 level05 1826 2017-02-12 04:27 /tmp/test.tgz
   level05@nebula:/home/flag05$ cd /tmp
   level05@nebula:/tmp$ tar xvf test.tgz
   .ssh/
   .ssh/id_rsa.pub
   .ssh/id_rsa
   .ssh/authorized_keys
   

8. ที่นี้ลองตรวจสอบแต่ละไฟล์จะพบว่า มีไฟล์ “private key” คือไฟล์ id_rsa  และ public key คือ “id_rsa.pub” ของ “SSH” อยู่ ที่นี้เราลองใช้ “private key”  ที่พบแทน “login” ของ “SSH” โดยใช้คำสั่งดังต่อไปนี้

   #กำหนด path ของ id_rsa ให้เจอ มิเช่นนั้นจะไม่อนุญาต "login" ด้วย "private key"
   ssh -i /tmp/.ssh/id_rsa flag05@localhost
   

   

9. สำหรับวิธีการ login จากเครื่องนอกเสียจากเครื่องเดียวกันสามารถทำได้ตามบทความดังต่อไปนี้
   • How to login SSH by using private key – Metasploitable2
   • How to login SSH by using the attacker’s private key – Metasploitable2