kali滲透綜合靶機(十八)--FourAndSix2靶機

kali滲透綜合靶機(十八)--FourAndSix2靶機

靶機下載地址:https://download.vulnhub.com/fourandsix/FourAndSix2.ova

1、主機發現

1.netdiscover -i eth0 -r 192.168.10.0/24

　　

2、端口掃描

1. masscan --rate=10000 -p0-65535 192.168.10.134

　　

3、端口服務識別

nmap -sV -T4 -p 22,111,787,2049 -O 192.168.10.134

　　

4、漏洞復現與利用

1.發現目標開啓了rpcbind服務,百度查找對應的漏洞,沒有發現

2.發現目標開啓了ssh服務(OpenSSH 7.9),查找對應的漏洞,沒有發現

3.發現目標開啓了nfs服務(網絡文件系統)

3.1查看目標系統共享的目錄,使用msf中的模塊也可使用nmap中的腳本

　　

3.2掛載目錄,成功掛載

　　

3.3查看共享目錄的內容,下載敏感信息

　　

3.4解壓backup.7z文件，發現文件被加密

　　

3.5查找資料發現能夠用rarcrack對7z壓縮包進行爆破,rarcrack破解命令爲：

apt-get install rarcrack

rarcrack --threads 4 --type 7z backup.7z

最終，7z破解腳本成功破解到壓縮包密碼：chocolate，解壓出來發現一堆圖片和ssh公、私鑰

3.6把公鑰複製到/root/.ssh嘗試使用ssh私鑰登陸目標，發現對私鑰進行了口令認證

　　

3.7使用如下腳本,爆破私鑰密碼，爆破出12345678

cat /usr/share/wordlists/metasploit/adobe_top100_pass.txt  |while read pass;do if ssh-keygen -c -C "user@forandsix" -P $pass -f id_rsa &>/dev/null;then echo $pass; break; fi; done

3.8 ssh登陸

　　

4.查看系統版本,發現系統是OpenBSD,百度查找對應的漏洞,沒有發現

　　

5.查看是否存在可執行的二進制文件,以及帶有s標誌位的文件

　　

6.發現經過find命令咱們找到了suid權限運行的程序/usr/bin/doas，它是sudo命令的替代。doas是BSD系列系統下的權限管理工具，相似於Debian系列下的sudo命令

6.1查看doas.conf,發現當前用戶可以以root權限使用less命令查看/var/log/authlog文件,而且不須要輸入密碼,此時能夠經過進入編輯模式(按v)，輸入/bin/sh得到root權限

　　

7.提權

7.1 執行Doas /usr/bin/less /var/log/authlog,按v，進入編輯模式,輸入以下內容

　　

7.2成功得到root權限

　　

 

總結:

一、信息收集

二、nfs共享資源

三、破解7z壓縮文件夾,ssh私鑰登陸、破解私鑰口令

四、OpenBSD類linux系統

五、doas管理工具提權