Kenobi
靶机描述 : 使用Linux机器的演练。枚举Samba的共享,操作一个易受攻击的proftpd版本,并使用环境变量操作升级您的特权。
靶机标签 : smb, suid, 环境变量操纵 星球大战主题
Nmap扫一波端口
开放端口好多
尝试了80端口,没有可以利用的地方
尝试枚举smb
Nmap枚举SMB服务
nmap -p 445 --script = smb-enum-shares.nse,smb-enum-users.nse 10.10.169.211
枚举结果
root@kali:~# nmap -p 445 --script=smb-enum-shares.nse,smb-enum-users.nse 10.10.68.87
Starting Nmap 7.80 ( https://nmap.org ) at 2020-04-07 11:45 UTC
Nmap scan report for ip-10-10-68-87.eu-west-1.compute.internal (10.10.68.87)
Host is up (0.00017s latency).
PORT STATE SERVICE
445/tcp open microsoft-ds
MAC Address: 02:8A:BF:E2:69:EE (Unknown)
Host script results:
| smb-enum-shares:
| account_used: guest
| \\10.10.68.87\IPC$:
| Type: STYPE_IPC_HIDDEN
| Comment: IPC Service (kenobi server (Samba, Ubuntu))
| Users: 1
| Max Users: <unlimited>
| Path: C:\tmp
| Anonymous access: READ/WRITE
| Current user access: READ/WRITE
| \\10.10.68.87\anonymous:
| Type: STYPE_DISKTREE
| Comment:
| Users: 0
| Max Users: <unlimited>
| Path: C:\home\kenobi\share
| Anonymous access: READ/WRITE
| Current user access: READ/WRITE
| \\10.10.68.87\print$:
| Type: STYPE_DISKTREE
| Comment: Printer Drivers
| Users: 0
| Max Users: <unlimited>
| Path: C:\var\lib\samba\printers
| Anonymous access: <none>
|_ Current user access: <none>
|_smb-enum-users: ERROR: Script execution failed (use -d to debug)
Nmap done: 1 IP address (1 host up) scanned in 1.09 seconds
匿名登录SMB
使用空密码登录
smbclient //10.10.169.21/anonymous
下载SMB共享文件
smbget -R smb://10.10.169.211/anonymous
枚举rpcbind服务111端口
用netcat链接到FTP服务获取版本
netcat -nv 10.10.169.211 21
用searchsploit查找对应版本的漏洞
searcgsploit ProFTPD 1.3.5
复制ssh私钥(SMB服务里看到的日志文件)
mod_copy模块实现
SITE CPFR
和
SITE CPTO
命令,可用于将文件/目录从服务器上的一个位置复制到另一个位置。
任何未经身份验证的客户端都可以利用这些命令将文件从
文件系统的
任何
部分
复制
从 /home/kenobi/.ssh/复制私钥
再把私钥复制到 /var/tmp/目录下
把/var/tmp 挂载到我们的目录下
创建一个文件夹/mnt/kenobiNFS
用ssh私钥登录
先赋予id_rsa 600 权限
然后登录
ssh -i id_rsa kenobi@10.10.169.211
环境变量劫持提权
查找SUID位文件
提权,获取flag