OverTheWire--bandit--level0~level33

开门见山

1.Level 0

最开始的任务，使用ssh连接到目标，

2.Level 0 ->Level 1

查看文件内容

使用ssh登录bandit1

3.Level 1 → Level 2

查看，

linux中“-”代表的是“进入此目录之前所在的目录”，所以不能直接使用”cat -“来查看。加上文件的路径就可以了

ssh连接

4.Level 2 → Level 3

查看，存在有空格文件名的文件

合理使用转义字符

ssh连接

5.Level 3 → Level 4

查看inhere文件夹，存在一个隐藏文件

查看文件内容

ssh连接

6.Level 4 → Level 5

查看文件夹内容

查看全部文件内容，存在乱码

可以用file这个命令。ﬁle命令就是用来查看文件类型的,也可用来辨别一些文件的编码格式。它是通过查看文件的头部信息来获取文件类型。

其他为二进制格式文件，查看文件07

ssh连接

7.Level 5 → Level 6

查看文件夹中的文件

存在条件

可以使用find命令查找

查看文件

ssh连接

8.Level 6 → Level 7

条件

用find条件查找

在根目录下查找会经常有很多权限的报错信息，可以用2>/dev/null这种方式将错误信息重定向到“黑洞中”

查看

HKBPTKQnIay4Fw76bEy8PVxKEDQRKTzs

ssh连接

9.Level 7 → Level 8

查看，用grep匹配关键词

也可以用vin和/匹配关键词

cvX2JJa4CFALtqS87jk27qwqGhBM9plV

ssh连接

10.Level 8 → Level 9

查找

也可以用-c列出出现的次数，然后从中找到是1的那一行即可

UsvVyFSfZZWbi6wgC7dAFyFuR6jQQUhR

ssh连接

11.Level 9 → Level 10

查找

truKLdjsbJ5g7yyJ2X2R0o3a5HQJFuLk

ssh连接

12.Level 10 → Level 11

查找得到base64并解码

IFukwKGsFW8MOq3IRFqrxE1hxTNEbUPR

ssh连接

13.Level 11 → Level 12

查找，字母的的顺序旋转了13个位置，就相当去26个字母的前13个位置与后13个位置调换了。那么我们就是用tr命令进行调换

5Te8Y4drgCRfCx8ugdwuEX8KFC6k2EUu

ssh连接

14.Level 12 → Level 13

查看文件类型

尝试用xxd转成bin提示权限不够

复制一遍

需要解压多次，查看文件类型再解压

8ZjyCRiBWFYkneahHwxCv3wb2a1ORpYL

ssh连接

15.Level 13 → Level 14

利用私钥直接连接bandit14

查看

4wcYUJFw0k0XLShlDzztnTBHiqxU3b3e

16.Level 14 → Level 15

用telnet连接，然后提交密钥

BfMYroe26WYalil77FoDi9qh59eK5xNr

ssh连接

17.Level 15 → Level 16

用openssl，提交密钥得到下级密钥

cluFn7wTiGryunymYOu4RcffSxQluehd

ssh连接

18.Level 16 → Level 17

namp扫端口

其中31518和31790开放了ssl服务

用openssl连接提交密钥查看回显，31790端口能回显私钥

保存私钥

用私钥连接下级，私钥的权限需要设置

查看

xLYVMN9WE5zQ5vHacb0sZEVqbrp7nBTn

19.Level 17 → Level 18

diff 比较两个文件的不同

kfBf3eYk5BPBRzwjqutbbfE887SVc5Yd

ssh连接，加-T参数得到伪终端

20.Level 18 → Level 19

直接在伪终端查看

IueksS7Ubh8G3DCwVzrTd8rAVOwq3M5x

ssh连接

21.Level 19 → Level 20

查看

属主的权限为rws, s是特殊权限位，允许一般用户用root权限执行这个文件。
通过文件名是想我们用bandit20这个用户执行这个命令读取密码，通过id 命令查看到bandit20用户的uid为11020，运行这个文件–help 命令查看用法可得用法，最后读取密码

GbKksEFF4yrVs6il55v6gwY5aVje5f0j

ssh连接

22.Level 20 → Level 21

开放一个监听的端口，然后suconnect 文件访问这个端口如果得到和这关相同的密码就会返回下一关的密码，用nc将本关的密码反馈给连接端口命令如下

gE269g2h3mw3pwgrj0Ha9Uoqen1c9DGr

ssh连接

23.Level 21 → Level 22

一步一步查看文件内容

Yk7owGAcWjwMVRwrTesJEwB7WVOiILLI

24.Level 22 → Level 23

查看文件内容

实现的功能是取当前用户名，然后计算 I am user $当前用户名的md5值，将bandit22密码的复制到tmp目录下的对应的md5值的文件中,

I am user bandit23的hash值就是下一关密码

jc1udXuA1tiHqjIsL8yaapX5XIAI6i0n

ssh连接

25.Level 23 → Level 24

查看脚本内容

/var/spool/cron/ 这个目录下存放的是每个用户包括root的crontab任务，每个任务以创建者的名字命名，比如tom建的crontab任务对应的文件就是/var/spool/cron/tom。一般一个用户最多只有一个crontab文件。

在/var/spool/bandit24目录下就可以运行bandit24的定时任务
创建一个放在改目录下的脚本就可以执行了
vim getpass.sh进入vim编辑模式输入脚本
写入cat /etc/bandit_pass/bandit24 > /tmp/bandit24pass

这时候在/var/spool/bandit24目录下不一定能看见你写的脚本，就像前面的定时任务脚本里面写的，执行完脚本这个就任务就删除了。这个时候说明我们的脚本已经执行了，可以去/tmp目录查看我们的密码了

UoMYTrfrBFHyQXmg6gzctqAwOmw1IohZ

ssh连接

26.Level 24 → Level 25

写个脚本跑密码

#！ /usr/bin/python

from pwn import *

conn = remote('localhost', '30002')

badline = conn.recvline()

for i in range(1000):

tmp = str(i).zfill(4)

print '[+] Trying pincode: ' + str(tmp)

conn.sendline('UoMYTrfrBFHyQXmg6gzctqAwOmw1IohZ ' + tmp)

response = conn.recvline()

print response

if "Wrong" not in response；

print "Got Pincode: " + str(tmp)

response = conn.recvline()

print response

exit(0)

运行

uNG9O58gUE7snukf3bvZ0rxhtnjzSGzG

ssh连接

27.Level 25 → Level 26

直接用密钥来连接，发现不行

查看

系统关闭连接的原因是这个exit 0, 在这个exit 之前执行我们想要的命令就可以达到我们想要的效果了。
在more 命令执行之前可以执行命令即可，把会话的终端缩小到几行，然后用文件连接bandit26，这样可以出发自动more, 在more命令还没有结束的时候按v进入vim编辑模式。再就是用vim特有的:e file，vim模式下的e命令可以导入文件到编辑器内，我们知道密码的所在，因此就可以用e命令来导入密码文件