本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现;
地址:https://www.vulnhub.com/entry/hacklab-vulnix,48/
sudo nmap -n -p- -sC -sV -T5 -oN vulnix.nmap 10.10.10.129
nmap扫描结果
端口开的还是很多,先从25端口试试,验证下存在哪些用户,这里是可以手动nc命令尝试
也可以使用脚本进行测试,之前kali版本自带smtp-user-enum 现在最新版kali都已经删除了,所以咱们得自己下载,地址:https://github.com/pentestmonkey/smtp-user-enum 下载完成之后到对应目录直接执行即可
存在的用户还是很多的,其中有些用户系统用户名之类的,咱们就忽略好了,来看看存在的user用户
hydra -l user -P /usr/share/wordlists/rockyou.txt -t 4 -e nsr 10.10.10.129 ssh
成功登陆用户user,查看了下/etc/passwd 确认用户vulnix的uid和gid都是2008
到这里先放着,我们先挂载下nfs到本地
从上面知道了需要被挂载的目录是用户vulnix的家目录
挂载成功到本地,但是发现没权限,而且知道了用户vulnix的uid和gid,那么我们本地创建一个uid和gid都为2008的用户vulnix然后就可以进入nfs了
创建指定用户的uid和gid,首先需要创建对应的组之后才可以创建指定uid的用户
sudo groupadd -g 2008 vulnix
sudo adduser vulnix -uid 2008 -gid 2008
最终成功进入目标nfs的目录,但是啥都有没发现,只看到本地默认隐藏的文件
到了这一步就赶紧生成公钥和私钥,然后放在目标家目录里面直连即可
公钥下发完毕,登录用户vulnix试试
成功登录用户vulnix,而且还发现可以通过nfs提权,因为可以编辑nfs的配置文件,将root_squash更改为no_root_squash即可,更改完成之后需要让其生效有两种方式,一种是使用root权限执行exportfs -a,但是我们没有权限,那么我们只能重启目标靶机了,重启完成之后使用ssh登录用户vulnix
这里的坑是,上面要重启靶机,复制bash二进制文件必须是目标靶机的bash二进制文件,复制kali 的bash二进制文件执行有问题,然后最近的kali默认不使用root用户登录,所以需要先在目标靶机上复制bash二进制文件,此时的权限是vulnix,然后kali上切换至root用户进入挂载好的nfs目录,使用chown命令将其更改为root权限,然后再次退出使用用户vulnix登录进行执行提权即可
使用vulnix登录目标靶机提权
