FourAndSix2渗透实战

主机发现和信息收集

arp-scan –l
arp-scan
nmap -sS -A -p- -n 192.168.8.128
nmap

Nmap扫出来,居然没有开80端口

telnet 192.168.8.128 80
telnet

省下了web渗透

nfs挂载

发现了在111端口的rpcbind和2049端口的nfs服务开启
查阅资料发现:

rpcbind服务是一个RPC服务,主要是在nfs共享时候负责通知客户端,服务器的nfs端口号是什么的。简单理解rpc就是一个中介服务。

很显然,靶机存在共享目录等着我们去挂载。
在msf中

search nfs
search nfs
use auxiliary/scanner/nfs/nfsmount

nfsmount

配置好后,直接 exploit
发现可挂载目录 /home/user/storage
发现可挂载目录

那就上挂载目录看看有什么东西

nfspysh -o server=192.168.8.128:/home/user/storage

发现是在user用户的目录下挂载
其中发现一个备份压缩文件backup.7z

help    查看命令
lpwd   查看本地挂载的路径
get      下载文件到本地
help

进行解压

7z e backup.7z
image.png

竟然加密了
可以看到压缩包内部的文件,有图片还有rsa,难道是登录ssh的密钥


文件

爆破解密

跑字典爆破
密码:chocolate
成功解压:

解压

HelloKitty,浓浓的少女风
id_rsa和id_rsa.pub这就是上学期课上讲过的私钥和公钥吧
参考了rsa的讲解 https://blog.csdn.net/diyxiaoshitou/article/details/52471097
可以用私钥登录靶机,因为之前挂载目录看到是在user用户下的,账号尝试用user

ssh -i id_rsa user@192.168.8.128

ssh

rsa私钥也加密了,需要破解私钥的密码:
参考 https://www.freebuf.com/column/191782.html 大神写的shell脚本

密码:1-8


login

登录成功


cd root

提权

doas.conf中发现uses能够以root权限免密码执行less /var/log/authlog
doas是BSD系列系统下的权限管理工具,类似于Debian系列下的sudo命令

doas

doas /usr/bin/less /var/log/authlog

然后直接按v,可进入编辑模式
之后执行vi系统操作命令,即Esc :

!/bin/sh

此时便会提升到root权限


提权

直接全局搜flag:

find / -name "*flag*" 2>/dev/null
find flag
cat flag.txt
cat flag

总结:

1、本次实战,思路还是比较清晰的,在没有WEB渗透的情况下,很自然要想到利用msf搜索相应服务版本的利用漏洞,以及22端口ssh的爆破和登录。
2、找到靶机挂载的目录后,down下压缩文件进行爆破解压后看到id_rsa,结合上学期所学的内容要想到用私钥登录ssh
3、在提权过程中,uname -a查看靶机的系统信息,发现是BSD,之前没做过这类的提权,而且这类的漏洞也比较少,只能仿效SUID和sudoers这类的命令执行提取,所以查看靶机目录下的可读文件,发现了doas.conf(doas是BSD系列系统下的权限管理工具)进行!/bin/sh提权。

FourAndSix2 靶机百度云下载
链接:https://pan.baidu.com/s/1v61lULA5JYIFD46Avi8I4Q
提取码:9jxa

推荐阅读更多精彩内容

  • 《鸟哥Linux私房菜》《老男孩Linux运维》 NFS介绍 NFS维基百科:网络文件系统(英语:Network ...
    Zhang21阅读 2,138评论 0 14
  • 时间过得真快,又逢一年一度的双十一了。记得去你的双十一,易效能叶老师的进阶课也是被疯狂的购买,短短几天就位居榜首的...
    learner芳芳阅读 42评论 0 0
  • 衣物整理上,我目前做的比较好的有: 1.分人:大人、孩子的衣物已经分开,当季和过季的衣物也是分开的。 2.衣服的叠...
    海红米花妈阅读 96评论 0 0
  • 这是我第一次这样,也许也是我最后一次这样。
    Instamatic阅读 24评论 0 0
  • “世界旅行不像它看上去的那么美好,只是在你从所有炎热和狼狈中归来之后,你忘记了所受的折磨,回忆着看见过的不可思议的...
    洛无事阅读 370评论 25 9