靶机3. FourAndSix2

已于 2023-11-10 15:35:49 修改
阅读量70 收藏
点赞数
分类专栏: 靶机 文章标签: 网络 安全
于 2023-10-05 11:54:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wj33333/article/details/133464492
版权

该靶机没有web端,不需要网页

老规矩

1、信息收集

目标IP探测 (arp-scan、netdiscover、nmap)

Nmap端口扫描,版本,操作系统扫描等

这里使用的半开扫描(快)

nmap -sS 10.9.47.0/24 -T4

找到目标IP后详细扫描

nmap -sV -p- 10.9.47.215 -T4    

-p-    全端口扫描
-sV    扫描端口下的服务

我们发现没有http协议web端,但是发现NFS协议(文件共享)

2、NFS渗透

我们可以首先使用showmount工具查看靶机是否有共享文件夹:

showmount -e 10.9.47.215

 -e表示exports,即靶机向外共享的到处列表,可以看到共享目录是/home/user/storage(这样也表明靶机很可能有一个名为user的用户

目录挂载

尝试能否将这个共享的目录/home/user/storage映射到我们创建的目录:

sudo mount -t nfs 10.9.47.215:/home/user/storage /mnt/

mount用于挂载目录,-t是type的意思,指定为nfs共享文件模式,由上图可见该映射成功了,我们只要进入tmp目录应该就能看到靶机/home/user/storage目录的内容,如下:

果然,我们看到了/home/user/storage目录下的文件backup.7z,是一个压缩包

3、7z压缩包的密码破解

尝试直接用7z工具解压,-x参数表示解压缩:

7z -x backup.7z

需要输密码(不知道随便输一个)

说明内容有8张图片和两个文件,两个文件看名称像是ssh登录的私钥和公钥。用john爆破。由于john爆破只能针对hash文件,因此我们先用7z2john生成7z压缩包的哈希,名称为backup7z_hash:

7z2john backup.7z > backup7z_hash

发现报错(翻译后说我们缺少插件)

运行以下两个命令安装即可:

sudo apt update
sudo apt install libcompress-raw-lzma-perl

然后删掉错误生成的backup7z_hash,再次运行

生成7z的hash后,使用字典rockyou.txt进行压缩包的密码暴力破解,指定形式为7z格式:

john --format=7z --wordlist=/usr/share/wordlists/rockyou.txt backup7z_hash

对压缩包进行解压

看到hello kitty的文件,首先先用file查看是否是真的单纯的图片文件:

file hello*.*

 好像就是单纯的图片文件,我们再试试用binwalk看看有没有捆绑,发现也没有

binwalk hello*.*

那有没有可能是图片隐写啥的,说不定图片里面有备注,我们尝试用exiftool查看图片:

 exiftool hello*.*

4、ssh私钥登录

查看不带.pub的文件id_rsa,这可能是私钥:

看起来确实是openssh的私钥,再看看公钥:

 那我们就直接尝试用私钥登录user用户吧:

ssh -i id_rsa user@10.9.47.215

-i表示用私钥登录,结果显示私钥id_rsa本身还有密码

与破解压缩包的思路类似,先将私钥生成john对应的hash文件,这里命名为id_rsa_hash:

john id_rsa_hash --wordlist=/usr/share/wordlists/rockyou.txt

拿到了私钥的passphrase是12345678,然后我们重新用私钥登录,输入passphrase即可成功登录user的shell:

5、less+vi提权

尝试能否采用suid的方法提权

find / -perm -u=s -type f 2>/dev/null

这里要重点关注doas这个指令,该指令类似于sudo,即以高权限运行指令需要添加的命令。由于doas指令是具有s位的,因此使用doas可以以高权限运行指令。我们要查找的就是有哪些指令可以免密doas运行(即类似于ubuntu/debian的Linux运行sudo -l 后有哪些免密sudo的指令),这就需要查找doas的配置信息了。我们直接用find搜索doas的相关文件:

find / -name doas* -type f 2>/dev/null

看起来doas.conf就是doas的配置文件,我们查看:

这个文件告诉我们,less和authlog指令是可以用doas免密以root权限运行的!那我们就运行试试:

doas /usr/bin/less /var/log/authlog

 运行发现再用less读取authlog:

那么要如何提权呢?此处我们是使用less命令对authlog进行查看,且此时less命令是具有root权限的。但less只能读文件,不能执行系统命令。我们知道在less中按字母v是可以启动vi编辑器的,而vi编辑器中输入冒号:后即可输入交互的指令,又由于less具有root权限,在less中启动的vi编辑器应该也具有root权限,那么我们按v进入vi编辑器后,输入:!sh应该就能够以root身份启动shell

按v之后进入vi编辑模式:

 再输入:!/sh即可提权,感叹号!用于表示执行系统命令:

可看到提示符已经变为了井号#,提权成功

wj33333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
红队打靶:FourAndSix2.01打靶思路详解(vulnhub)
Bossfrank的博客
07-31 799
本文是vulnhub靶机FourAndSix2.01的详细打靶过程。涉及到的识点包括nfs文件挂载、join破解.7z加密文件、私钥哈希、7z2john/ssh2john工具的使用、less+vim组合利用提权等。靶机的操作系统是OpenBSD,非常规的Linux靶机,值得打靶实操。
FourAndSix2 靶机渗透
banacyo14206的博客
09-24 391
0x01 简介 FourAndSix2是易受攻击的一个靶机,主要任务是通过入侵进入到目标靶机系统然后提权,并在root目录中并读取flag.tx信息 FourAndSix2.镜像下载地址: https://download.vulnhub.com/fourandsix/FourAndSix2.ova 0x02 信息收集 1.通过存活主机发现,确定目标机器IP 2.端...
FourAndSix: 2.01靶机入侵
渗透测试研究中心
02-12 176
0x01前言 FourAndSix2是易受攻击的一个靶机,主要任务是通过入侵进入到目标靶机系统然后提权,并在root目录中并读取flag.tx信息 FourAndSix2.镜像下载地址: https://download.vulnhub.com/fourandsix/FourAndSix2.ova 0x02信息收集 1.存活主机扫描 arp-scan -l 发现192.168.1....
hacksudo:2 (HackDudo) vulnhub靶场(NFS,vbox靶场环境配置)
最新发布
weixin_62621015的博客
03-21 461
hacksudo2 vulnhub靶场(NFS,vbox靶场环境配置)
靶机【Vulnhub】FourAndSix2
干铮的博客
10-19 572
FourAndSix2 1.主机发现 靶机给出了网卡ip和网关 还是Nmap ping扫一下 C:\Users\ASUS>Nmap -sP 192.168.43.0/24 Starting Nmap 7.70 ( https://nmap.org ) at 2020-10-19 10:48 ?D1ú±ê×?ê±?? Nmap scan report for 192.168.43.1 Host is up (0.0070s latency). MAC Address: EC:D0:9F
Kioptrix2-WalkThrough 靶机复现.docx
10-18
Kioptrix2-WalkThrough 靶机复现 本文将对 Kioptrix2 靶机复现的整个过程进行详细的知识点总结,涵盖信息收集、攻击、提权等阶段的关键技术点。 信息收集阶段 在信息收集阶段,我们首先需要对靶机进行 IP 探活,...
dc-2靶机练习.pdf
01-02
详细的靶机dc-2练习过程,思路明确,条例清晰, 通过修改hosts进入网站,发现flag1 通过cewl工具对网站生成密码字典,使用wpscan进行密码爆破得到jerry,tom账号密码,登录后台得到flag2 端口扫描发现ssh服务开...
hack me please靶机攻略.docx
10-19
"hack me please靶机攻略" 本资源为一份详细的靶机攻略文档,涵盖了从主机发现到获取 root 权限的整个过程。下面是从文档中提取的关键知识点: 一、主机发现 * 使用 nmap 工具进行主机发现和端口扫描,命令为:...
CTF6靶机实战.zip
05-25
2. 文件上传漏洞:学习如何发现和利用文件上传漏洞,以及如何构造反弹shell。 3. Linux脚本和系统漏洞利用:深入理解系统漏洞,编写和执行利用脚本。 4. Metasploit Framework:掌握基本的Metasploit操作,如模块...
dc-4靶机练习.docx
01-02
靶机在web信息收集,burp获取登陆用户名和密码。 第二步:利用反弹shell后发现一封邮件,拿到新用户的登陆口令。 第三步:通过sudo -l]发现不用登录root可以使用的命令 [teehee --help][teehee -a]增加用户,具有...
靶机渗透测试(fourandsix2
@小张小张的博客
09-13 726
靶机渗透测试(fourandsix2): Vulnhub靶机 fourandsix2 靶机:修改靶机网络配置为桥接模式。 攻击机:Kali虚拟机,同样使用桥接模式,即可访问靶机靶机难度:(中等) 目标:成功渗透进入靶机,获取root权限并且读取/root/flag.txt 。 渗透流程: 1.探测主机ip(此靶机开机时已经给出) ip:192.68.10.210 2.nmap进行靶机端口服务扫描 22端口: ssh服务 111端口: rpcbind服务 2049端口: nfs服务 发现特殊开放了2
靶机渗透之FourAndSix2(二)
Delity的博客
07-20 632
一、环境准备 一台kali,一台FourAndSix2,能相互ping通 二、靶机发现 1.主机发现,用kali扫描靶机ip地址为192.168.19.156 nmap -sP 192.168.19.0/24 2.扫描靶机开放了哪些端口 nmap -sV 192.168.19.156 可以发现靶机开放了22 111 2049端口,可以从ssh服务、nfs服务进行入手 三、渗透过程 1.通过端口服务扫描,首先从nfs服务入手,利用msf的nfs模块 search nfs use auxiliary/s
Vulnhub:fourandsix2渗透测试
mandarava的博客
03-11 409
。。。
OSCP - FourAndSix 2.01 的破解
kevinhanser
04-14 1173
本文主要记录对 FourAndSix 2.01 的渗透学习过程,测试的 VM 主机主要来源 www.vulnhub.com 博客集:面向 CTF 的 VM 破解系列 下载链接:FourAndSix 2.01 VM - FourAndSix 2.01 的破解 2019年4月13日19:19:03 【原创】 1. 官方描述 Name: FourAndSix: 2.01 名字: Date rele...
Vulnhub靶机 FourAndSix1
菜浪马废的博客
09-16 173
挂载/shared 里面有个.img文件 挂载到/usb 看见一堆图片
FourandSix:2 - writeup
weixin_33701294的博客
11-23 103
nmap扫描 nmap -sS -Pn -A 10.129.10.105查询到开放的端口及服务:22-ssh、111-rpcbind、2049-nfs、612-mountd,如图: mountd服务检查 showmount -e 10.129.10.105发现存在可远程挂载的目录:/home/user/storage(everyone)尝试挂载目录及其上级目录后发现仅可挂载目录:/home/us...
靶机FourAndSix2
weixin_43940853的博客
11-06 284
kali : 192.168.230.224 靶机: 192.168.230.215 发现并没有web服务,但是开放了nfs服务 nfs服务主要功能是通过网络让不同的机器系统之间可以彼此共享文件和目录。NFS服务器可以允许NFS客户端将远端NFS服务器端的共享目录挂载到本地的NFS客户端中。 NFS是Network File System的缩写,即网络文件系统。一种使用于分散式文件系统的协定,...
Vulnhub靶机实战——DC-2
冠霖L的博客
09-27 4715
靶机DC-2下载地址:https://download.vulnhub.com/dc/DC-2.zip 描述:靶机DC-2与DC-1一样,共有5个flag,但最终需要root权限才可以找到并查看flag 环境:Vmware 15 Pro虚拟机软件 DC-1靶机IP地址:192.168.220.132 Kali的IP地址:192.168.22...
电子取证-活取证2
banacyo14206的博客
08-22 336
启动一个文本文件 tasklist 查看进程列表 可以看到notepad.exe正在后台运行 procdump -ma notepad.exe notepad.dmp -m memory -a all 意思就是将和notepad.exe程序有关的所有内存dump下来保存为.dmp文件 当前目录下生成一个notepad.dmp文件 将dump文件中的字符...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值