歡迎光臨
我們一直在努力

Vulnhub x FourAndSix: 1

VulnHub是一個面向所有人開放的安全靶場,裡面有很多安全環境,只要下載相關映像檔,在相關虛擬機器上面執行就可以練習相關靶場了。裡面設計了好多關,如果有耐心一定可以到達峰頂。許多考OSCP人員,也會利用Vulnhub靶場進行刷題。我們下載了一個經典漏洞靶場,給大家進行演示,希望讓初學者知道滲透測試的套路,可以更快的成長。

靶機:FourAndSix: 1

首先,先查詢自己本地的IP,可以透過 ifconfig查詢。

eth0 192.168.44.136 這是本地IP ,同時也是攻擊者端

接著我們透過nmap工具,使用參數-sP,透過Ping的方式來快速尋找當前網段的其他主機

找到標的物端(192.168.44.139)後,接下來繼續使用Nmap掃描該主機開啟的相關服務。

使用#Nmap -A 192.168.44.139,-A 是完整掃描的意思。

發現開啟了22 port 、111 port、726 port 、2049 port,沒有80與443 port,且經瀏覽器訪問該標的IP也無法訪問,所以這題靶機初步判斷是沒有網站的。於是可以嘗試從其他服務下手。

22 port 是SSH登入,一般可能會尋找相關OpenSSH版本號的CVE 或 暴力破解登入

值得注意的是 2049 port nfs服務,這邊引起了我的興趣。

我們可以對它進行Showmount來查看該標的的共享文件。

#showmount -e 192.168.44.139

結果顯示出來,該mount掛載路徑為 /home/user/storage,且看起來是everyone,任何人都可以掛載的樣子。

於是我們先建立一個暫存目錄 #mkdir test,然後透過mount將 標的端主機的/home/user/storage 掛載到我們攻擊端Kali主機上的 test目錄下。

#mount -t nfs 192.168.44.139:/home/user/storage test

然後進入 test目錄後,查看當前目錄檔案 ls ,發現存在 backup.7z,經解壓縮後發現需要解壓縮密碼,

於是可以使用爆破腳本來解開密碼,字典檔使用Kali上的rockyou.txt字典檔。

#./7z-crack.sh backup.7z /usr/share/wordlists/rockyou.txt

幾秒鐘後,結果出來了,壓縮檔密碼為 chocolate

於是將壓縮檔密碼解開後,發現有許多圖檔與id_rsa、id_rsa.pub。

而id_rsa.pub看起來像是 ssh登入會使用到的。

透過cat命令 查看id_rsa.pub檔案,在最後一段可以看到 [email protected] ,看起來像是該標的端主機的帳號

因為ssh登入該標的端,會需要輸入密碼

#ssh -i id_rsa [email protected]

所以我們也嘗試爆破下id_rsa的文件密碼

使用id_rsa爆破腳本,字典檔一樣使用rockyou.txt

#./rsa_crack.sh id_rsa /usr/share/wordlists/rockyou.txt

馬上可以發現,密碼為12345678

有了ssh密碼後,接下來就可以直接登入了

#ssh -i id_rsa [email protected]

password:12345678

登入主機後,先簡單蒐集下資訊,透過id、uname -a等命令,查看當前用戶與系統資訊,也可檢查下 /etc/passwd

經一番搜尋後,最後發現該主機使用了doas服務,什麼是doas ? 不懂的可以看下這篇

大概就是用來取代sudo的。

查看下 /etc/doas.conf,大概就是說可用doas提權到root,然後從/usr/bin/less訪問到/var/log/auth.log的檔案,一種可以提權的味道。

於是我們透過doas,doas /usr/bin/less /var/log/authlog,然後按下鍵盤 v 後 輸入 !sh 離開。

接著就可以查看下當前用戶 id,成功提權到 root 了

成功就在眼前,進入到/root目錄,發現有flag.txt,於是直接 cat flag.txt。

flag出現了。

結束。

 

 

贊(1) 打賞
轉載請附上作者連結:波波的寂寞世界 » Vulnhub x FourAndSix: 1

波波的寂寞世界

Facebook聯繫我們

覺得文章有用,請作者喝杯咖啡

掃一掃打賞作者狗糧