靶机渗透之My File Server: 1

  • Name: My File Server: 1
  • Date release: 21 Feb 2020
  • Author: Akanksha Sachin Verma
  • Series: My File Server
  • Download: https://drive.google.com/uc?id=1w0grAomPuFaIohBcUwDiI3QIi4fj4kje&export=download

对于vulnhub中的靶机,我们都需先下载镜像,然后导入VM,并将网络连接改为NAT模式。首先我们再来看一下靶机渗透的步骤:信息收集-漏洞分析-漏洞利用-提权。基本都是这个三个步骤,接下来开始我们今天的靶机渗透吧! 

信息收集

主机发现

端口扫描

对他的系统版本做进一步扫描

总结一下扫描结果:

21端口 - FTP服务,用于文件上传下载共享。

22端口 - SSH服务,用于远程安全登录管理服务器。

80端口 - HTTP服务,用于提供Web页面和网页内容。

111端口 - rpcbind服务,用于RPC程序管理端口映射。

445端口 - Samba服务,用于Windows文件共享功能。

2049端口 - NFS服务,支持不同系统间共享文件系统。

2121端口 - FTP服务,可以匿名登录。

20048端口 - mountd服务,远程NFS文件系统安装管理端口。

针对UDP再扫描一下

UDP端口全部被过滤。

分辨一下filtered与closed:

filtered与closed状态不同,closed表示端口确定关闭,filtered状态下可能处于打开但受限状态

漏洞扫描

开放了21-22、80、111、445、2049、2121、20048常见服务端口

80端口http服务通过多种方式扫描,没有发现XSS或CSRF等Web漏洞

对smb服务进行漏洞检查,未发现ms10-054、ms10-061等与SMB相关的常见漏洞

但发现smb服务中的regsvc存在拒绝服务漏洞,该漏洞可利用程序破坏服务

通过http枚举发现了有趣的/icons/文件夹 

目录扫描

发现了两个目录:

/readme.txt

/index.html 

漏洞分析

打开页面,没什么发现

打开readme.txt。告诉我们密码。先暂时放这里

目前基于目录扫描得到的线索就这些。

NFS

看是否有共享目录

建个文件夹,将共享文件夹映射(mount)到本机文件夹,方便查看。

NFS挂载失败

可能原因:

共享目录定义限制了只允许特定IP/主机访问。

客户端没有正确配置NFS访问权限(比如export无共享定义)。

服务器端export.allow或export.deny限定只在特定网段内使用。

客户端NFS默认是否需要用户名/密码进行身份验证。

FTP匿名登入:

用户名:anonymous  密码为空

也没有可以利用得信息 然后再尝试ssh 发现没权限无果。

SMB共享服务:

前面得端口我们都尝试了发现没有什么利用信息然后我们在看看445端口 发现了共享文件夹信息

可以看到其中的smbdata有可读可写的权限

根据我们之前发现的信息,尝试 账号smbdata 密码:rootroot1 可以成功登陆

查看详细信息

smbclient //192.168.11.136/smbdata  

将感觉重要的信息下载下来

cat查看文件中的内容,看看有什么发现

sshd_config中发现靶机仅仅支持证书登陆,不允许密码登陆

secure可以得到密码换了

这个时候就知道两个用户名两个密码

账号:smbdata、smbuser

密码:rootroot1,chauthtok

登陆一下,ftp。smbuser:rootroot1, 发现路径是/home/smbuser

结合之前ssh_config的配置信息,我们可以上传自己的一个证书来达到通过smbuser来登陆ssh

这里可以想到使用ssh-keygen生成公钥和私钥,将公钥上传到之前发现的路径~/.ssh/authorized_keys中,然后使用私钥登录。尝试一下。
先试用ssh-keygen生成密钥对。

进行ssh免密操作,然后上传到靶机

再进行ssh登入 登入成功!

提权

查看下 smbusersudo权限

找下拥有s位的文件


find / -perm -u=s -type f 2>/dev/null

暂时没有发现可能的天门或后门程序的痕迹。

 查看下有没有定时任务

查看内核版本

通过上面的信息发现并没有什么可用的信息,但是系统的内核版本比较低,这个时候我们可以尝试使用脏牛进行提权

经过试验,前两个不行,那就尝试40616

搜索metasploit模块编号为40616的linux内核利用代码。

先在80端口启动一个HTTP服务器

然后在smbuser中用wget下载文件40616.c

编译并修复40616.c文件

赋予执行的权利,并执行

提权成功

总结

这个靶机相对来说不容易。信息收集部分和之前一样,步骤都是一样的,这次扫描出来的开放端口较多,也就是在后面漏洞利用阶段会有很多方法。然后就来到漏洞分析,有很多入口点,首先基于目录扫描得出的目录,知道了其中用户的密码。紧接着从2049nfs入手,看是否有共享目录,发现有但是看不了。然后就利用ftp匿名登录,可以登录但是不能看文件内容。然后登录ssh,也是没有权限查看文件。最后从445端口SMB共享服务,找到了smbdata有可读可写的权限,猜测是用户名,通过这个smbclient命令试图访问IP地址192.168.11.136上的smb共享文件夹smbdata,最后访问成功,看了一些重要文件内容,得知了一些重要线索:靶机仅仅支持证书登陆,不允许密码登陆;密码换了。最后也总共得出了两个用户名两个密码。最后使用ftp工具尝试连接到IP地址为192.168.11.136的FTP服务.最后利用ssh-keygen生成私钥,进行ssh免密操作。最后就是提权,先是寻找是否有s位的文件,紧接着找计划任务,最后看了linux版本较低,使用脏牛提权。这就是整个靶机渗透过程。如有问题,还请大家在评论区帮忙指出!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/422877.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

java的JDK选择和在win11的安装与配置

一.背景 还是公司安排的师带徒的任务。自己也回头看看。 二.JDK的选择 开发的版本java1.8。所以准备使用JDK8。 1.JDK有谁在给我们提供呢? 我以前知道的是sun、RedHat、Oracle、IBM。 我以前一般都是去sun的网站下载,后来被Oracle收购后去的Oracle…

2024年腾讯云优惠政策_腾讯云TOP10优惠活动

腾讯云服务器多少钱一年?62元一年起,2核2G3M配置,腾讯云2核4G5M轻量应用服务器218元一年、756元3年,4核16G12M服务器32元1个月、312元一年,8核32G22M服务器115元1个月、345元3个月,腾讯云服务器网txyfwq.co…

2024年腾讯云优惠券_代金券_云服务器折扣券免费领取链接

腾讯云优惠代金券领取入口共三个渠道,腾讯云新用户和老用户均可领取8888元代金券,可用于云服务器等产品购买、续费和升级使用,阿腾云atengyun.com整理腾讯云优惠券(代金券)领取入口、代金券查询、优惠券兑换码使用方法…

【中国 Elixir 开发者值得关注的 Elixir 相关动态发布网站】ElixirStatus

Elixir 是一个基于Erlang 虚拟机的函数式、面向并行的通用编程语言。如果你是一个 Elixir 开发者,想关注 Elixir 相关的项目动态和博客文章,https://elixirstatus.com/ 是一个不错的选择,基本每天 Elixir 相关项目开发者提交动态到该网站。

USB - Linux Kernel Menuconfig

Linux kernel,make menuconfig,和USB相关的,在主菜单选择Device Drivers。 Device Drivers下面,找到USB support。 在USB support下面,就可以对USB相关的item进行设置。 按照从上到下的顺序,打开的设置依次…

【vue3】命令式组件封装,message封装示例;(函数式组件?)

仅做代码示例;当然改进的地方还是不少的,仅作为该类组件封装方式的初步启发; 理想大成肯定是想要像 饿了么 这些组件库一样。 有的人叫这函数式组件,有的人叫这命令式组件,我个人还是偏向于命令式组件的称呼。因为以vu…

备战蓝桥杯————差分数组2

目录 引言 一、拼车 题目描述 解题思路及代码 结果展示 二、航班预定统计 题目描述 解题思路及代码 结果展示 总结 引言 在现代交通管理中,拼车服务和航班预订系统是提高资源利用效率、优化用户体验的关键技术。随着城市交通压力的增大和航空业的快速发…

深度学习 精选笔记(4)线性神经网络-交叉熵回归与Softmax 回归

学习参考: 动手学深度学习2.0Deep-Learning-with-TensorFlow-bookpytorchlightning ①如有冒犯、请联系侵删。 ②已写完的笔记文章会不定时一直修订修改(删、改、增),以达到集多方教程的精华于一文的目的。 ③非常推荐上面(学习参考&#x…

为什么网站页面没有被百度搜索收录?是网站被攻击了?

例如,为什么网站页面没有被百度搜索收录? 网站是否受到攻击? 网站索引量和网站流量之间有关系吗? 您在运行网站或小程序时是否有过这样的疑问? 下面我将为大家详细解答这些问题。 1.PC/H5站点相关 1、为什么新网站页面…

蓝桥杯Learning

Part 1 递归和递推 1. 简单斐波那契数列 n int(input())st [0]*(47) # 注意这个地方,需要将数组空间设置的大一些,否则会数组越界 st[1] 0 st[2] 1 # 这个方法相当于是递推,即先求解一个大问题的若干个小问题 def dfs(u):if u 1:print(…

Linux如何查看端口是否占用

在Linux中,有多种方法可以用来检查端口是否被占用。以下是一些常用的命令: netstat:这是一个非常通用的命令,可以用来查看所有端口的使用情况。如果你想查找特定的端口是否被占用,可以使用netstat命令配合grep。例如&…

pytest教程-13-conftest.py文件

上一小节我们学习了fixture的作用域,本小节我们学习一下pytest conftest.py文件的使用方法。 conftest.py文件的作用 conftest.py文件是pytest框架中的一个特殊文件,用于定义共享的设置、夹具(fixture)和钩子函数(hook)。 在py…

Java学习-简单算法与正则表达式

1.排序算法 a.冒泡排序: 每轮找出当前最大值,冒到前面,循环长度减一次,每轮从1个比较到长度减i个 b.选择排序: 每一轮选择每一个位置的数组元素和后面的元素比较,从第i1个比较到最后一个 选择排序的优化&am…

Netty的InboundHandler 和OutboundHandler

一、InboundHandler 和OutboundHandler的区别 在Netty中,"inbound"表示来自外部来源(如网络连接)的数据,而"outbound"则表示从应用程序发送到外部目标(如网络连接或其他服务)的数据。…

2、事件机制、DOM操作、jquery对尺寸操作、jquery添加和删除

一、事件机制 1、事件源.事件类型(事件处理程序) $(this)中的this不能加引号 $(#box).click(function () {$(this).css(background-color,blue)//点击颜色变为蓝色 })2、事件源.on/bind(事件类型,事件处理程序) $("#box").on(dbclick,function () {$(…

MySQL:错误ERROR 1045 (28000)详解

1.问题说明 有时候我们登录Mysql输入密码的时候,会出现这种情况: mysql -u root -p Enter Password > ‘密码’ 错误:ERROR 1045 (28000): Access denied for user ‘root’‘localhost’ (using password: YES) 或者:错误…

CTFHUB--文件包含漏洞--RCE

文件包含漏洞 文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,…

修改centos7的dns解决docker拉取镜像超时问题

近期在一台centos7的服务器上部署系统,拉取docker镜像时总是超时,如图所示。网上有教程说,可以修改操纵系统的dns地址,试了一下,果然搞定。 打开dns配置文件 sudo vi /etc/resolv.conf发觉里面的地址设为114.114.114…

Unity铰链四杆机构设计和运动仿真

一、效果图 设定好各边长度和转速后,点击【设置并启动】,自动生成一个机构模型,并按照原理进行运转 二、铰链四杆机构介绍 机架:A和D是固定位置,叫做机架。 曲柄:B点绕A点旋转,构成曲柄。 连…

什么是VR数字文化遗产保护|元宇宙文旅

VR数字文化遗产保护是指利用虚拟现实(VR)技术来保护和传承文化遗产。在数字化时代,许多珍贵的文化遗产面临着自然衰退、人为破坏或其他因素造成的威胁。通过应用VR技术,可以以全新的方式记录、保存和展示文化遗产,从而…