FourandSix:2 - writeup

nmap扫描

nmap -sS -Pn -A 10.129.10.105查询到开放的端口及服务:22-ssh、111-rpcbind、2049-nfs、612-mountd,如图:

FourandSix:2 - writeup

mountd服务检查

showmount -e 10.129.10.105发现存在可远程挂载的目录:/home/user/storage(everyone)尝试挂载目录及其上级目录后发现仅可挂载目录:/home/user/storage(everyone)
FourandSix:2 - writeup

挂载目录:mount -t nfs 10.129.10.105:/home/user/storage /tmp/test,发现存在一个压缩文件:backup.7z

解压压缩包时,发现有密码,于是开始破解压缩包密码,破解可使用rarcrack暴力破解或通过7z命令进行字典爆破。其中,rarcrack破解命令为:rarcrack --threads 4 --type 7z backup.7z;7z破解脚本:7z-crack

./7z-crack.sh /tmp/backup.7z /usr/share/wordlists/rockyou.txt

最终,7z破解脚本成功破解到压缩包密码:chocolate

压缩包文件检查

压缩包加压后,发现了id_rsa和id_rsa.pub,于是猜测可直接通过id_rsa.pub登陆,在XSHELL中通过id_rsa.pub登陆时,需要输入密码,于是,使用工具破解id_rsa文件的密码,破解工具

./id_rsa-crack.sh /tmp/id_rsa /usr/share/wordlists/rouckyou.txt

最后,拿到id_rsa密码:12345678

shell提权

进入shell后,发现当前用户是一个ksh,系统是FreeBSD 6.4的,搜索之后发现内核没有可用来提权的漏洞,于是将重点放在配置、文件和服务上。发现etc目录下有doas配置,发现当前用户可用doas提升到root访问/usr/bin/less来访问/var/log/auth.log文件,于是联想到linux系统中的SUID提权,于是,尝试从less到shell的跳转,最后无法跳转,原因暂不清楚;通过输入h后发现可以使用e来读取一个新的文件,于是读取到flag。

转载于:https://blog.51cto.com/executer/2321267

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值