HackLAB靶机实战:一步步教你拿下权限

admin
admin
admin
138718
文章
114
评论
2025年2月18日19:44:18评论5 views字数 2211阅读7分22秒阅读模式

HackLAB靶机实战:一步步教你拿下权限

在网络安全的学习与实践中,靶机练习是提升技能的关键一环。今天,咱们就来详细拆解HackLAB靶机的渗透过程,从发现主机到成功提权,带你积累实战经验,赶紧跟上!

一、发现主机

渗透的第一步是找到目标主机,这里我们借助强大的nmap工具。执行命令 nmap -sP 192.168.20.0/24,这就像是在一片网络海洋里撒下大网,进行主机扫描。一番搜索后,成功发现了目标主机 192.168.20.157

HackLAB靶机实战:一步步教你拿下权限

二、扫描端口

确定目标后,要深入了解它开放了哪些“大门”,也就是端口。使用 nmap -sV -p 1-65535 192.168.20.157 命令,对目标主机1到65535端口进行全面扫描。结果发现开放了众多端口,像22端口的ssh服务、25端口的smtp服务等,这些开放端口就是我们后续渗透的突破口。

HackLAB靶机实战:一步步教你拿下权限

其中,2049端口开放了nfs(网络文件系统)服务,这可是个重要发现。通过 showmount -e 192.168.20.157 命令查看,发现其输出了 /home/vulnix *,意味着我们可以尝试挂载 /home/vulnix 目录。于是,我们在本地创建 /tmp/nfs/ 目录,执行 mount -t nfs 192.168.20.157:/home/vulnix /tmp/nfs/ 进行挂载。不过,进入目录时却遇到权限问题,这也为后续操作埋下伏笔。

HackLAB靶机实战:一步步教你拿下权限
HackLAB靶机实战:一步步教你拿下权限

三、扫描25端口及用户枚举

25端口开放了邮件服务,我们用 nmap -A -p 25 192.168.20.157 进一步扫描,得到了用户 vulnix 以及可用命令 VRFY, ETRN, STARTTLS 等关键信息。接着,利用 smtp-user-enum -M VRFY -U /usr/share/metasploit-framework/data/wordlists/unix_users.txt -t 192.168.20.157 枚举smtp用户,并将结果复制到 user.txt 文件。再经过 vi user.txt 和 cat user.txt | cut -d ' ' -f2 | cut -d ' ' -f1 >user2.txt 命令过滤,筛选出了一系列可能的用户。

HackLAB靶机实战:一步步教你拿下权限
HackLAB靶机实战:一步步教你拿下权限
HackLAB靶机实战:一步步教你拿下权限

为了验证这些用户是否真实存在,我们使用 finger 命令,像 finger [email protected] 等,确定了 vulnixuser 和 root 三个用户是存在的。

HackLAB靶机实战:一步步教你拿下权限

四、爆破ssh与登录

有了用户列表,下一步就是尝试登录。我们选择使用hydra工具对ssh服务进行爆破,命令是 hydra -l user -P /usr/share/wordlists/rockyou.txt 192.168.20.157 ssh。一番努力后,成功得到了 user 用户的密码 letmein

HackLAB靶机实战:一步步教你拿下权限

有了账号密码,执行 ssh [email protected] 成功登录到靶机。登录后查看 /etc/passwd 文件,发现 vulnix 用户的uid是2008。我们在kali本地创建同uid的用户 useradd -u 2008 vulnix,并切换用户 su vulnix,进入之前挂载的 /tmp/nfs 目录。

HackLAB靶机实战:一步步教你拿下权限
HackLAB靶机实战:一步步教你拿下权限
HackLAB靶机实战:一步步教你拿下权限

在 /tmp/nfs 目录下创建ssh证书,执行 mkdir .sshcd .ssh 和 ssh-keygen -t rsa 命令,生成一对公私钥,密码设为空。之后,将公钥重命名为 authorized_keys,私钥移动到 /tmp/id_rsa 并修改权限 chmod 600 /tmp/id_rsa。最后,使用 ssh -o 'PubkeyAcceptedKeyTypes +ssh-rsa' -i /tmp/id_rsa [email protected] 成功登录到 vulnix 用户。

HackLAB靶机实战:一步步教你拿下权限
HackLAB靶机实战:一步步教你拿下权限
HackLAB靶机实战:一步步教你拿下权限

五、提权操作

登录 vulnix 用户后,执行 sudo -l 查看可使用的sudo命令,发现可以使用 sudoedit /etc/exports。这可是个提权的好机会!我们使用 sudoedit /etc/exports 命令,在文件中添加 /root   *(rw,no_root_squash),意思是允许所有主机读写挂载靶机的 /root 目录,且不限制root用户权限。修改完成后重启靶机。

HackLAB靶机实战:一步步教你拿下权限
HackLAB靶机实战:一步步教你拿下权限

在kali本地创建 /tmp/nfs2/ 目录,执行 mount -t nfs 192.168.20.157:/root /tmp/nfs2/ 挂载靶机的 /root 目录。进入该目录后,再次创建ssh密钥,过程和之前类似。生成密钥后,将公钥重命名为 authorized_keys,私钥移动到 /tmp/id_rsa2 并修改权限。

HackLAB靶机实战:一步步教你拿下权限
HackLAB靶机实战:一步步教你拿下权限
HackLAB靶机实战:一步步教你拿下权限
HackLAB靶机实战:一步步教你拿下权限

最后,执行 ssh -o 'PubkeyAcceptedKeyTypes +ssh-rsa' -i /tmp/id_rsa2 [email protected],成功以root用户登录靶机,执行 id 命令查看,确认提权成功,uid和gid都变为了0。

HackLAB靶机实战:一步步教你拿下权限

通过这次HackLAB靶机练习,我们完整地体验了从发现主机到提权的全过程。在实际操作中,每一步都需要细心和耐心,遇到问题多思考、多尝试。希望大家通过这篇文章能有所收获,在网络安全学习的道路上更进一步!要是你在练习中遇到了什么有趣的问题或者有新的思路,欢迎在评论区留言分享!

原文始发于微信公众号(泷羽Sec-边酱):HackLAB靶机实战:一步步教你拿下权限

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月18日19:44:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HackLAB靶机实战:一步步教你拿下权限https://cn-sec.com/archives/3754291.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息