Skip to content

Latest commit

 

History

History
199 lines (101 loc) · 10.7 KB

VulnHub-HackLAB:Vulnix.md

File metadata and controls

199 lines (101 loc) · 10.7 KB

本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com

大余安全  

一个每日分享渗透小技巧的公众号

大家好,这里是 大余安全 的第 25 篇文章,本公众号会每日分享攻防渗透技术给大家。

靶机地址:https://www.vulnhub.com/entry/hacklab-vulnix,48/

靶机难度:初级(CTF)

靶机发布日期:2012 年 9 月 10 日

靶机描述:在这里,我们有一台易受攻击的 Linux 主机,该主机具有配置缺陷,而不是有目的的易受攻击的软件版本(无论如何,在发布之时就如此!)

目标:得到 root 权限 & 找到 flag.txt

请注意:对于所有这些计算机,我已经使用 VMware 运行下载的计算机。我将使用 Kali Linux 作为解决该 CTF 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集

我们在 VM 中需要确定攻击目标的 IP 地址,需要使用 nmap 获取目标 IP 地址:

我们已经找到了此次 CTF 目标计算机 IP 地址:192.168.56.131

开了好多端口,应该有很多种方法可以拿到权限.......

昨天就对 25 端口有过研究,今天直接 25 端口下手...

这边可以看到 VRFY 未禁用... 验证到存在 Vulnix 用户是存在的... 需要验证更多的用户是否存在

找到 sexy 的 smtp-user-enum 脚本,使用 / usr/share/metasploit-framework/data/wordlists/unix_users.txt metasploit 框架中提供的功能...

发现存在很多用户.... 有两个用户比较重要...

finger user@192.168.182.131

看到两个用户都是有效的...

用户 user 具有 devenull 的登录名和名为 Dovecot 的名称....

这边只确认了用户的存在... 密码还需要继续获得...

接下来,我将在端口 2049 上进行 NFS 枚举...(Nmap 扫出来的)

需要安装 nfs-common(kali 自带的)

二、NFS 枚举

看到可以为用户 vulnix 安装文件夹进行共享... 将远程共享文件装在本地 kali 上...

可以看出其实共享已经实现,估计设置了 root_squash 标志,只是不允许我们去访问... 只允许 vulnix 用户去访问....

目前只允许 vulnix 用户登陆,并且得具有与目标上相同的 id 和 gid...

(可以看出前面有 root 和 user 两个 root 权限的用户,可以创建用户去修改代码去针对用户提权,这边我没涉及很深,后期我慢慢脑补...)

我直接用九头蛇爆破了 user 用户密码...

命令:hydra -l user -P rockyou.txt 192.168.182.131 ssh -t 4
账号:user
密码:letmein

没安装 GCC,所以本地漏洞利用无法利用 C 语言编写...

无法访问共享的目录,看到 id 和 gid 后,可以创建了临时的用户和他们具有相同的 i 和 gid 值去访问共享目录...

创建好临时用户 mnt 后,这边用 ssh 生成密匙直接登录... 开始

这边用 ssh 生成密匙后,回到临时用户 mnt 下将密匙导入进去...(生成一直默认回车即可)

然后直接登录即可,会自动匹配 ssh 密匙...

三、提权

我已经在目标的系统上了,我可以继续枚举来尝试提升特权...

可以看到 sudo 提权,可以以 root 用户身份执行 sudoedit /etc/exports,编辑 / etc/exports 该文件...

通过用 no_root_squash 替换 root_squash 来实现....

修改完后,我们需要把挂载点挂掉...

然后这边比较坑... 因为我搭建是用 VM 搭建的,没有 root 用户权限无法对它进行 shutdown -r 命令... 这边得重启下 VM 下的 vulnix 靶机...

因前面挂开了 nfs 目录,这边重新挂载下创建的 mnt 共享...(有点卡)

本地计算机的 / bin/bash 复制到 / tmp/nfs,利用目录下的 bash 来提权... 赋予 4777 权限...

进入 vulnix 用户去执行./bash -p 报错了,无法打开... 重新在此目录下在复制一次

成功提权!!!

这是有逻辑性向渗透的一台靶机,非常有趣... 一定要动手操作几遍,熟能生巧,加油!!

由于我们已经成功得到 root 权限 & 找到 flag.txt,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~

欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!

大余安全

一个全栈渗透小技巧的公众号