靶机地址:https://www.vulnhub.com/entry/my-file-server-1,432/
靶机难度:初级
通过nmap获取靶机的ip地址:192.168.40.158
nmap -sP 192.168.40.*
获取靶机端口,开放了http,ssh,ftp,smb等其他服务
nmap -sV -p- 192.168.40.158
访问80端口,没有明显的发现,扫描目录发现了readme.txt
访问页面,直接给了密码
该靶机还开放了21端口,用ftp登录看一下有没有其他需要的信息,可以看到/pub/log有很多文件,但是无法下载
ftp 192.168.40.158
服务器还开放了smb服务,看一下smb服务有没有什么有用的信息。先用smbmap枚举目录名,只有smbdata有权限读写
登录smbdata,看到的文件和之前用ftp登录的文件差不多一致,比之前多了一个sshd_config
smbclient //192.168.40.158/smbdata
把文件get下来,在secure文件最后面找到用户和密码
尝试用ssh登录,但是需要密钥才能登录
貌似没啥想法了,回想一下之前ftp是匿名登录,现在已经有了用户名smbuser,而且一开始网页给了密码rootroot1。那么再尝试一下用ftp登录
成功登录,那么可以尝试伪造一对ssh的密钥,把公钥放到靶机上就可以实现免密登入
ssh-keygen -t rsa
用ftp上传公钥到靶机上
mkdir ~/.ssh put /root/.ssh/id_rsa.pub ~/.ssh/authorized_keys
再次尝试ssh登录,这次成功登录
下一步就是提权了,看一下内核版本
uname -a
可以直接使用脏牛来进行提权
将下载下来的脏牛用ftp上传到靶机的/tmp目录下
put /root/40616.c /tmp/dirty.c
用gcc编译,然后执行脏牛,成功获取root权限
gcc -pthread dirty.c -o dirty -lcrypt
