HackLAB:vulnix

下载地址:https://download.vulnhub.com/hacklab/Vulnix.7z

实战操作

信息收集

┌──(root💀kali)-[~]
└─# fping -a  -g 192.168.32.0/24 > /tmp/scan.log  
┌──(root💀kali)-[~]
└─# cat /tmp/scan.log                                                                                                                                                                                                                    1 ⨯
192.168.32.1
192.168.32.2
192.168.32.130
192.168.32.143

找到靶机IP:192.168.32.143

对IP进行端口扫描

┌──(root💀kali)-[~]
└─# nmap  -sT -sC -sV -A -O  -p1-65535 192.168.32.143                                                                                                                                                                                  
Starting Nmap 7.92 ( https://nmap.org ) at 2022-05-29 21:58 EDT
Nmap scan report for 192.168.32.143
Host is up (0.00085s latency).
Not shown: 65518 closed tcp ports (conn-refused)
PORT      STATE SERVICE    VERSION
22/tcp    open  ssh        OpenSSH 5.9p1 Debian 5ubuntu1 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   1024 10:cd:9e:a0:e4:e0:30:24:3e:bd:67:5f:75:4a:33:bf (DSA)
|   2048 bc:f9:24:07:2f:cb:76:80:0d:27:a6:48:52:0a:24:3a (RSA)
|_  256 4d:bb:4a:c1:18:e8:da:d1:82:6f:58:52:9c:ee:34:5f (ECDSA)
25/tcp    open  smtp       Postfix smtpd
|_smtp-commands: vulnix, PIPELINING, SIZE 10240000, VRFY, ETRN, STARTTLS, ENHANCEDSTATUSCODES, 8BITMIME, DSN
|_ssl-date: 2022-05-30T01:58:33+00:00; +2s from scanner time.
79/tcp    open  finger     Linux fingerd
|_finger: No one logged on.\x0D
110/tcp   open  pop3       Dovecot pop3d
|_pop3-capabilities: SASL PIPELINING TOP RESP-CODES STLS UIDL CAPA
|_ssl-date: 2022-05-30T01:58:33+00:00; +2s from scanner time.
111/tcp   open  rpcbind    2-4 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2,3,4        111/tcp   rpcbind
|   100000  2,3,4        111/udp   rpcbind
|   100000  3,4          111/tcp6  rpcbind
|   100000  3,4          111/udp6  rpcbind
|   100003  2,3,4       2049/tcp   nfs
|   100003  2,3,4       2049/tcp6  nfs
|   100003  2,3,4       2049/udp   nfs
|   100003  2,3,4       2049/udp6  nfs
|   100005  1,2,3      34690/tcp   mountd
|   100005  1,2,3      40182/tcp6  mountd
|   100005  1,2,3      46697/udp   mountd
|   100005  1,2,3      48580/udp6  mountd
|   100021  1,3,4      35088/tcp6  nlockmgr
|   100021  1,3,4      37627/tcp   nlockmgr
|   100021  1,3,4      47312/udp   nlockmgr
|   100021  1,3,4      56054/udp6  nlockmgr
|   100024  1          32992/udp   status
|   100024  1          45632/tcp   status
|   100024  1          55313/udp6  status
|   100024  1          59036/tcp6  status
|   100227  2,3         2049/tcp   nfs_acl
|   100227  2,3         2049/tcp6  nfs_acl
|   100227  2,3         2049/udp   nfs_acl
|_  100227  2,3         2049/udp6  nfs_acl
143/tcp   open  imap       Dovecot imapd
|_imap-capabilities: capabilities more IMAP4rev1 SASL-IR Pre-login STARTTLS LITERAL+ IDLE LOGIN-REFERRALS post-login listed ENABLE have LOGINDISABLEDA0001 OK ID
|_ssl-date: 2022-05-30T01:58:33+00:00; +2s from scanner time.
512/tcp   open  exec       netkit-rsh rexecd
513/tcp   open  login      OpenBSD or Solaris rlogind
514/tcp   open  tcpwrapped
993/tcp   open  ssl/imaps?
| ssl-cert: Subject: commonName=vulnix/organizationName=Dovecot mail server
| Not valid before: 2012-09-02T17:40:22
|_Not valid after:  2022-09-02T17:40:22
|_ssl-date: 2022-05-30T01:58:33+00:00; +2s from scanner time.
995/tcp   open  ssl/pop3s?
| ssl-cert: Subject: commonName=vulnix/organizationName=Dovecot mail server
| Not valid before: 2012-09-02T17:40:22
|_Not valid after:  2022-09-02T17:40:22
|_ssl-date: 2022-05-30T01:58:33+00:00; +2s from scanner time.
2049/tcp  open  nfs_acl    2-3 (RPC #100227)
34690/tcp open  mountd     1-3 (RPC #100005)
37627/tcp open  nlockmgr   1-4 (RPC #100021)
45632/tcp open  status     1 (RPC #100024)
55719/tcp open  mountd     1-3 (RPC #100005)
60479/tcp open  mountd     1-3 (RPC #100005)
MAC Address: 00:0C:29:78:E8:C4 (VMware)
Device type: general purpose
Running: Linux 2.6.X|3.X
OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3
OS details: Linux 2.6.32 - 3.10
Network Distance: 1 hop
Service Info: Host:  vulnix; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
|_clock-skew: mean: 1s, deviation: 0s, median: 1s

TRACEROUTE
HOP RTT     ADDRESS
1   0.85 ms 192.168.32.143

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 27.55 seconds

SSH服务

Finger服务

Finger 命令用于 Linux 和类 Unix 系统中,用于从终端检查任何当前登录用户的信息。它是一个命令行实用程序,可以为用户提供登录时间、tty(名称)、空闲时间、主目录、shell 名称等。

枚举系统用户

image-20220530102608927

NFS服务

可以发现有/home/vulnix挂载出来

本地挂载/home/vulnix文件夹

无法访问挂载的共享,可能是因为设置了 root_squash 标志。我们可以放心地假设,如果我们有一个名为 vulnix 且具有相同 UID 的用户,我们将能够访问它。但我们稍后再谈。

获取权限

SSH服务爆破

创建用户文件

然后使用字典列表rockyou.txt破解密码:

终于破解了用户user的密码,即letmein

检查受害服务器上的/etc/passwd文件,发现用户vulnix具有UID 2008,因此在本地计算机上创建了一个名为vulnix的用户,UID为2008,然后尝试再次访问该分区:

image-20220530113030002

使用新创建的vulnix用户(具有UID 2008权限)成功进入已经挂载的/mnt/vulnix文件夹

生成一个SSH密钥,以vulnix用户身份登录而不需要密码:

NFS股灾文件夹放入公钥

使用公钥进行登录

提权

可以运行命令来打开/etc/exports,不用输入密码。这是发现的:

image-20220530133305240

用no_root_squash替换了root_squash flag。需要作弊,因为没有vulnix的密码,而且没有sudo用户执行命令/usr/sbin/exportfs -a或计算机重新引导,就无法再次导出NFS分区,所以手动重新引导

  • root_squash: 客户端的root用户映射到任何人:客户端无法使用setuid位将恶意软件留给他人执行。

  • no_root_squash:通过此选项,停用了此安全功能,从而允许客户端的root权限操作最终以root身份出现在导出的文件系统中(因此,在其余客户端中)。

在受害者的机器上,如"vulnix":

在本地计算机上,以root身份:

然后在受害人的机器上执行shell,并保留带有flag -p的原始文件的权限:

上一页Hacker kid 1.0.1下一页HACKME 1

最后更新于

这有帮助吗?