VulnHub渗透测试FourAndSix2
靶机
运行环境
VM Workstation
VM Esxi
VirtualBox
说明
获取root权限并且读取/root/flag.txt
设置
将下载好的ova文件直接导入虚拟机(这里我使用VM Esxi导入ova文件)
发现主机
打开Esxi虚拟机控制台网页,点击刚才安装好的虚拟机,可以看到当前虚拟机ip地址
我当前靶机ip为172.17.135.30
服务发现
使用Nmap对靶机进行扫描
检测已知服务
开放2049端口,nmap探测显示为nfs服务,使用metasploit进行扫描可挂载目录
msf > use auxiliary/scanner/nfs/nfsmount
发现可挂载目录/home/user/storage
挂载目录:nfspysh -o server=172.17.135.30:/home/user/storage /tmp/storage
发现backup.7z这个压缩包,使用7z e backup.7z尝试解压,提示需要密码
查找资料发现可以用rarcrack对7z压缩包进行爆破
爆破命令:rarcrack --thread 4 --type 7z backup.7z
也可以使用7z命令进行字典爆破
7z-crack.sh
cat $2 | while read line;do if 7z e $1 -p"$line" 1>/dev/null 2>/dev/null;then echo "FOUND PASSWORD:"$line;break;fi;done使用方法:
bash 7z-crack.sh /tmp/storage/backup.7z /usr/share/wordlists/rockyou.txt
这里我用7z命令进行爆破,稍作等待即可得到密码为chocolate
root@kali:/tmp/storage# bash 7z-crack.sh backup.7z /usr/share/wordlists/rockyou.txt
FOUND PASSWORD:chocolate
解压backup.7z发现一堆图片,以及id_rsa和id_rsa.pub
于是猜测可以通过公私钥登录服务器,将私钥放到/root/.ssh目录下,连接服务器
提示需要输入密码,写shell脚本破解私钥密码
id_rsa-crack.sh:
cat /usr/share/wordlists/rockyou.txt | while read line;do if ssh-keygen -p -P $line -N $line -f /tmp/test/id_rsa 1>/dev/null 2>/dev/null;then echo "PASSWORD FOUND : "$line;break;fi;done;使用方法:
bash id_rsa-crack.sh /tmp/storage/id_rsa /usr/share/wordlists/rockyou.txt
爆破得到密码为12345678,连接服务器
这里说明一下user用户,是从上面挂载nfs服务时的目录得到
查看当前用户权限及系统信息
fourandsix2$ id
uid=1000(user) gid=1000(user) groups=1000(user), 0(wheel)
fourandsix2$ uname -an
OpenBSD fourandsix2.localdomain 6.4 GENERIC#349 amd64
查看/etc目录,有doas.conf
fourandsix2$ cat /etc/doas.conf
permit nopass keepenv user as root cmd /usr/bin/less args /var/log/authlog
permit nopass keepenv root as rootdoas是BSD系列系统下的权限管理工具,类似于Debian系列下的sudo命令
从doas.conf文件可以看到,当前用户能够以root权限使用less命令查看/var/log/authlog文件,并且不需要当前用户密码以及root密码
那么我们可以通过less进行提权
首先用doas /usr/bin/less /var/log/authlog查看日志文件,然后直接按v,可进入编辑模式,但是会提示只读,进入编辑模式后,可以通过vi编辑器操作方式,执行系统命令,即:!/bin/sh,此时便会提升到root权限
读取/root/flag.txt内容
