kali滲透綜合靶機(十八)--FourAndSix2靶機
靶機下載地址:https://download.vulnhub.com/fourandsix/FourAndSix2.ova
一、主機發現
1.netdiscover -i eth0 -r 192.168.10.0/24
二、端口掃描
1. masscan --rate=10000 -p0-65535 192.168.10.134
三、端口服務識別
nmap -sV -T4 -p 22,111,787,2049 -O 192.168.10.134
四、漏洞復現與利用
1.發現目標開啟了rpcbind服務,百度查找對應的漏洞,沒有發現
2.發現目標開啟了ssh服務(OpenSSH 7.9),查找對應的漏洞,沒有發現
3.發現目標開啟了nfs服務(網絡文件系統)
3.1查看目標系統共享的目錄,使用msf中的模塊也可以使用nmap中的腳本
3.2掛載目錄,成功掛載
3.3查看共享目錄的內容,下載敏感信息
3.4解壓backup.7z文件,發現文件被加密
3.5查找資料發現可以用rarcrack對7z壓縮包進行爆破,rarcrack破解命令為:
apt-get install rarcrack
rarcrack --threads 4 --type 7z backup.7z
最終,7z破解腳本成功破解到壓縮包密碼:chocolate,解壓出來發現一堆圖片和ssh公、私鑰
3.6把公鑰復制到/root/.ssh嘗試使用ssh私鑰登錄目標,發現對私鑰進行了口令認證
3.7使用以下腳本,爆破私鑰密碼,爆破出12345678
cat /usr/share/wordlists/metasploit/adobe_top100_pass.txt |while read pass;do if ssh-keygen -c -C "user@forandsix" -P $pass -f id_rsa &>/dev/null;then echo $pass; break; fi; done
3.8 ssh登錄
4.查看系統版本,發現系統是OpenBSD,百度查找對應的漏洞,沒有發現
5.查看是否存在可執行的二進制文件,以及帶有s標志位的文件
6.發現通過find命令我們找到了suid權限運行的程序/usr/bin/doas,它是sudo命令的替代。doas是BSD系列系統下的權限管理工具,類似於Debian系列下的sudo命令
6.1查看doas.conf,發現當前用戶能夠以root權限使用less命令查看/var/log/authlog文件,並且不需要輸入密碼,此時可以通過進入編輯模式(按v),輸入/bin/sh獲得root權限
7.提權
7.1 執行Doas /usr/bin/less /var/log/authlog,按v,進入編輯模式,輸入如下內容
7.2成功獲得root權限
總結:
1、信息收集
2、nfs共享資源
3、破解7z壓縮文件夾,ssh私鑰登錄、破解私鑰口令
4、OpenBSD類linux系統
5、doas管理工具提權