分类信息网站如何做排名,住房城乡建设部官方网站,怎么下载别人网站模板,网站建设实训结论和体会目录
写在开头
第一步#xff1a;主机发现与端口扫描
第二步#xff1a;NFS渗透
第三步#xff1a;7z压缩包的密码破解
第四步#xff1a;ssh私钥登录
第五步#xff1a;lessvi提权
总结与思考
写在开头 本篇博客根据大佬红队笔记的视频进行打靶#xff0c;详述了…目录
写在开头
第一步主机发现与端口扫描
第二步NFS渗透
第三步7z压缩包的密码破解
第四步ssh私钥登录
第五步lessvi提权
总结与思考
写在开头 本篇博客根据大佬红队笔记的视频进行打靶详述了打靶的每一步思路并非复现writeup读者耐心看完定会有所收获。本靶机并非常规的web渗透类型的靶机难度不高但涉及了像许多先前暂未触及的知识考验了密码暴力破解的工具与操作。同时该靶机是一台openBSD操作系统的靶机该操作系统通常用于防火墙或网络设备与常规的ubuntu/debian/centOS等Linux有着明显的命令差异。本文涉及到的知识点包括nfs文件挂载、join破解.7z加密文件、私钥哈希、7z2john/ssh2john工具的使用、lessvim组合利用提权等。完整打靶思路详见
「红队笔记」靶机精讲FourandSix2.01 - 小巧精悍干净利落的靶机暴力破解x2更有lessvi提权。_哔哩哔哩_bilibili 本文针对的靶机源于vulnhub详情见
FourAndSix: 2.01 ~ VulnHub 下载链接见 https://download.vulnhub.com/fourandsix/FourAndSix2.ova 本靶机的目标是拿到root权限并查看/root目录下的flag。下载成功后用vmware打开将网络链接设置为NAT模式。靶机打开之后如下 第一步主机发现与端口扫描 依旧常规思路命令不细讲了详情可见
渗透测试主机发现和端口扫描的思路方法总结nmapping命令nc.traditional伪设备连接
使用的命令如下
nmap -sn 10.10.10.0/24
nmap --min-rate 10000 -p- 10.10.10.143
nmap -sT -sV -O -sC -p22,111,2049 10.10.10.143
nmap -sU --min-rate 10000 -p- 10.10.10.143
nmap --scriptvuln -p22,111,2049 10.10.10.143 发现靶机的ip是10.10.10.143开放了3个端口分别是22的ssh端口111的rpc端口2049的nfs共享文件端口 具体扫描这几个端口的服务、操作系统信息如下 可发现操作系统是OpenBSD这并不是很常见的linux操作系统主要用于网络和防火墙设备中。其他漏洞扫描没发现有用信息同时UDP扫描显示2049的UDP端口也开放。
第二步NFS渗透 nfs全称为Network File Share网络共享文件模式开启这个服务的系统可以指定某个目录作为nfs的服务地址作为共享文件夹。我们可以首先使用showmount工具查看靶机是否有共享文件夹
showmount -e 10.10.10.143 -e表示exports即靶机向外共享的到处列表可以看到共享目录是/home/user/storage这样也表明靶机很可能有一个名为user的用户同时(everyone)表明任何人都可使用此共享目录。因此我们可以创建一个目录tmp尝试能否将这个共享的目录/home/user/storage映射到我们创建的目录
mkdir tmp
mount -t nfs 10.10.10.143:/home/user/storage tmp mount用于挂载目录-t是type的意思指定为nfs共享文件模式由上图可见该映射成功了我们只要进入tmp目录应该就能看到靶机/home/user/storage目录的内容如下 果然我们看到了/home/user/storage目录下的文件backup.7z拿到backup.7z后把这个文件复制到上级目录避免在挂载目录处理留下痕迹看起来是个7z的压缩包我们先用file查看具体的文件类型并用binwalk看看有啥捆绑 第三步7z压缩包的密码破解 由上图可知就是个单纯的7z压缩文件也没有捆绑文件因此尝试直接用7z工具解压-x参数表示解压缩
7z -x backup.7z 直接运行解压命令提示要输入密码咱也不知道密码是啥随便输一个报错信息如下 说明内容有8张图片和两个文件两个文件看名称像是ssh登录的私钥和公钥。此时说实话有点思路卡住了理论上我们是需要解压这个7z压缩包的但密码咱有不知道在哪里找。干脆就用john爆破吧。由于john爆破只能针对hash文件因此我们先用7z2john生成7z压缩包的哈希名称为backup7z_hash(随便起名)
7z2john backup.7z backup7z_hash 如上图所示backup7z_hash文件生成成功。 查询一下如果读者像我一样倒霉运行7z2john的命令后出现如下报错 提示表明在运行7z2john脚本时缺少了Compress::Raw::Lzma Perl模块。要解决这个问题需要安装该模块。只要运行以下两个命令安装即可
sudo apt update
sudo apt install libcompress-raw-lzma-perl然后删掉错误生成的backup7z_hash再次运行7z2john backup.7z backup7z_hash应该就不会有报错了。查询结束。 生成7z的hash后使用字典rockyou.txt进行压缩包的密码暴力破解指定形式为7z格式
john --format7z --wordlist/usr/share/wordlists/rockyou.txt backup7z_hash 得到压缩包的密码是chocolate看来作者应该很爱吃巧克力呀。然后我们用这个密码成功解压了所有文件
包括八张hello kitty的图片 以及两个疑似ssh公钥和私钥的文件 看到hello kitty的文件首先先用file查看是否是真的单纯的图片文件 好像就是单纯的图片文件我们再试试用binwalk看看有没有捆绑发现也没有 那有没有可能是图片隐写啥的说不定图片里面有备注我们尝试用exiftool查看图片 查看了8张图片也没发现有啥备注信息。那么就查看id_rsa的公钥和私钥吧。
第四步ssh私钥登录 查看不带.pub的文件id_rsa这可能是私钥 看起来确实是openssh的私钥再看看公钥 那我们就直接尝试用私钥登录user用户吧
ssh -i id_rsa user10.10.10.143 -i表示用私钥登录结果显示私钥id_rsa本身还有passphrase也就是说私钥被加密了还要用密码对私钥进行解密输错或者直接回车的话会转变为密码登录ssh咱也不知道密码。看来此处应该又要破解id_rsa私钥的密码了。与破解压缩包的思路类似先将私钥生成john对应的hash文件这里命名为id_rsa_hash
ssh2john id_rsa id_rsa_hash 成功生成了id_rsa_hash然后用john破解密码字典指定为rockyou.txt这里不太了解ssh私钥hash的格式是啥就干脆不用--format指定让john自己识别
john id_rsa_hash --wordlist/usr/share/wordlists/rockyou.txt 拿到了私钥的passphrase是12345678然后我们重新用私钥登录输入passphrase即可成功登录user的shell 可以看到操作系统是OpenBSD6.4同时当前用户属于两个组user和wheel。
第五步lessvi提权 在常规的linux系统中我们拿到初始shell后往往会运行sudo -l查看有什么特殊的信息但OpenBSD的语法与之不同无法直接sudo -l。我们先尝试寻找有什么s位的文件尝试能否采用suid的方法提权具有s位的文件表明该文件在运行时能够以其属主权限运行我们可以借此进行提取首先在根目录/按照权限-perm搜索具有s权限的文件f
find / -perm -us -type f 2/dev/null 这里要重点关注doas这个指令该指令类似于sudo即以高权限运行指令需要添加的命令。由于doas指令是具有s位的因此使用doas可以以高权限运行指令。我们要查找的就是有哪些指令可以免密doas运行即类似于ubuntu/debian的Linux运行sudo -l 后有哪些免密sudo的指令这就需要查找doas的配置信息了。我们直接用find搜索doas的相关文件
find / -name doas* -type f 2/dev/null
查找结果如下 看起来doas.conf就是doas的配置文件我们查看 非常关键的信息这个文件告诉我们less和authlog指令是可以用doas免密以root权限运行的那我们就运行试试
doas /usr/bin/less /var/log/authlog 运行发现再用less读取authlog 那么要如何提权呢此处我们是使用less命令对authlog进行查看且此时less命令是具有root权限的。但less只能读文件不能执行系统命令。我们知道在less中按字母v是可以启动vi编辑器的而vi编辑器中输入冒号:后即可输入交互的指令又由于less具有root权限在less中启动的vi编辑器应该也具有root权限那么我们按v进入vi编辑器后输入:!sh应该就能够以root身份启动shell了。
按v之后进入vi编辑模式 再输入:!/sh即可提权感叹号!用于表示执行系统命令 可看到提示符已经变为了井号#提权成功 进入/root目录读取flag 至此打靶完成
总结与思考 这个靶机不同于常规的web渗透类型靶机且操作系统类型也不太常规是一个值得练习的靶机。靶机考察了NFS网络共享文件相关的内容同时也考察了暴力破解密码的知识使用john进行密码暴力破解之前先要用对应的工具生成hash。最后的提权操作也很有代表性提权的思路和原理相当于常规linux靶机的sudo提权。最后总结以下渗透打靶过程 1.主机发现和端口扫描常规思路发现sshrpcnfs考虑从nfs入手。 2.NFS渗透发现文件backup.7z看起来像备份文件解压发现需要密码。 3.压缩包的密码破解先用7z2john生成哈希再用字典rockyou.txt爆破成功得到密码。解压后发现八张hello kitty的图片和疑似ssh登录的公钥和私钥。 4.ssh私钥登录尝试使用私钥登录发现私钥被加密需要passphrase用ssh2john生成hash再用字典rockyou.txt爆破成功得到passphrasessh登录了user账户。 5.lessvi提权进入user账户后一番搜索无果尝试寻找s位的文件发现doas相当于sudo指令查找doas指令的配置发现可以用less免密操作authlog文件在less中启动vi输入系统命令即可提权。 读者一定要理解提权的原理与逻辑。核心就是借用了less可以免密以root运行的权限在less中启动了编辑器vi使得vi也具有root权限而vi可以执行系统命令启动shell实现提权。 这里再来个插叙来自红队笔记大佬的描述难道压缩包中的8张HelloKitty图片就完全没用吗 回到最开始直接解压backup.7z的报错 如果你单纯看这个报错猜测一个密码你会猜什么呢8张图片每张图片都是依次是hello(n)那么这是不是提示存在一个密码就是12345678呢如果早一点想到这里或许就免了对passphrase的破解过程。不过这个脑洞还是略大了一些我感觉哪怕存在应该也是仅限靶机~。 插叙结束 到此这个靶机就讲解完毕了。打完这个靶机感觉还是挺有收获的。靶机不难总结不易也有很多自己的思考希望读者能够点赞关注多多支持学渗透还是要实操呀。如果读者有什么打靶的问题也欢迎评论区留言指出我一定知无不言
