FourandSix：2 - writeup

nmap掃描

nmap -sS -Pn -A 10.129.10.105查詢到開放的端口及服務：22-ssh、111-rpcbind、2049-nfs、612-mountd，如圖：

mountd服務檢查

showmount -e 10.129.10.105發現存在可遠程掛載的目錄：/home/user/storage(everyone)嘗試掛載目錄及其上級目錄後發現僅可掛載目錄：/home/user/storage(everyone)

掛載目錄：mount -t nfs 10.129.10.105:/home/user/storage /tmp/test，發現存在一個壓縮文件：backup.7z

解壓壓縮包時，發現有密碼，因而開始破解壓縮包密碼,破解可以使用rarcrack暴力破解或經過7z命令進行字典爆破。其中，rarcrack破解命令爲：rarcrack --threads 4 --type 7z backup.7z；7z破解腳本：7z-crack

./7z-crack.sh /tmp/backup.7z /usr/share/wordlists/rockyou.txt

最終，7z破解腳本成功破解到壓縮包密碼：chocolate

壓縮包文件檢查

壓縮包加壓後，發現了id_rsa和id_rsa.pub，因而猜想可直接經過id_rsa.pub登錄，在XSHELL中經過id_rsa.pub登錄時，須要輸入密碼，因而，使用工具破解id_rsa文件的密碼，破解工具。

./id_rsa-crack.sh /tmp/id_rsa /usr/share/wordlists/rouckyou.txt

最後，拿到id_rsa密碼：12345678

shell提權

進入shell後，發現當前用戶是一個ksh，系統是FreeBSD 6.4的，搜索以後發現內核沒有可用來提權的漏洞，因而將重點放在配置、文件和服務上。發現etc目錄下有doas配置，發現當前用戶可用doas提高到root訪問/usr/bin/less來訪問/var/log/auth.log文件，因而聯想到linux系統中的SUID提權，因而，嘗試從less到shell的跳轉，最後沒法跳轉，緣由暫不清楚；經過輸入h後發現能夠使用e來讀取一個新的文件，因而讀取到flag。