电脑疯子技术论坛|电脑极客社区

微信扫一扫 分享朋友圈

已有 1170 人浏览分享

Tryhackme-Kenobi靶机

[复制链接]
1170 0
前言

一个国外的渗透学习网站,补基础知识点还是不错的 适合新人学习网络安全因为学习项目里有提示。

QQ截图20210926151746.png

知识点

可直接开启web的虚拟机[非会员每天只有一个小时也可以使用VPN连接个人建议还是用VPN爽点
毕竟自己的机子工具啥的用起来方便。

samba
Samba是适用于和Unix的标准Windows互操作性程序套件。它允许最终用户访问和使用公司内联网或
互联网上的文件.打印机和其他常见共享资源。它通常被称为网络文件系统。
Samba基于服务器消息块 (SMB) 的通用客户端/服务器协议。SMB 仅针对 Windows 开发 如果没有 Samba其他计算
机平台将与 Windows 机器隔离,即使它们是同一网络的一部分。

SMB 有两个端口,445 和 139 FTP 运行在21端口 rpcbind 的端口111。这只是一个将远程过程调用 RPC程序号转
换为通用地址的服务器。当一个 RPC 服务启动时,它告诉rpcbind它正在侦听的地址和它准备服务的 RPC 程序号
ProFtpd 是一个免费的开源 FTP 服务器。

Searchsploit 基本上只是一个针对exploit-db.com 的命令行搜索工具 SUID:用户访问级别的特殊权限具有单一功能:
具有SUID的文件始终以拥有该文件的用户身份执行,而不管用户传递命令。如果文件所有者没有执行权限 则在此处使
用大写的S /usr/bin/menu 菜单系统文件 。

操作步骤

nmap扫描目标(查看开启了多少端口):

QQ截图20210926152021.png

nmap脚本枚举smb共享:

nmap -p 445 --script = smb-enum-shares.nse, smb-enumusers.nse 10.10.193.20发现三个文件共享

QQ截图20210926152133.png

使用smbclient连接网络共享:

smbclient//ip/anonymous (列出共享的文件)

30.png

除了smbclient连接外 可递归下载 SMB 共享。

提交用户名和密码作为空:

29.png

打开共享上的文件,发现了一些有趣的事情:

28.png

为用户生成SSH密钥时为 Kenobi 生成的信息有关 ProFTPD服务器的信息

nmap枚举111端口(该端口此例中用于访问网络文件系统):

nmap -p 111 --script=nfs-ls,nfs-statfs,nfs-showmount 10.10.70.208

发现 /var 文件夹下文件:

26.png

使用netcat通过FTP端口连接机器,获取 ProFtpd 的版本

nc ip 21

25.png

使用searchsploit查找特定软件版本漏洞:searchsploit pro

22.png

根据ProFtpd 的版本找到了一个漏洞利用:mod_copy 模块。

详细:ProFTPd 1.3.5 - 'mod_ copy' Command Execution mod_copy 模块实现了SITE CPFR 和SITE CPTO命令 可用于将文
件/目录从服务器上的一 个位置复制到另一个位置。任何未经身份验证的客户端都可以利用这些命令将文件从任 何复制 文件系
统的一部分到选定的目的地。使用 SITE CPFR 和 SITE CPTO 命令复制 Kenobi 的私钥。

21.png

nc ip 21

SITE CPFR /home/kenobi/.ssh/id_rsa SITE CPTO /var/tmp/id_rsa /var 目录是我们可以看到的挂载所以
我们现在已经将 Kenobi 的私钥移动到 /var/tmp 目 录。

将 /var/tmp 目录挂载到我们的机器上:

20.png

mkdir /mnt/kenobiNFS mount ip:/var /mnt/kenobiNFS ls -la /mnt/kenobiNFS

复制kenobi用户私钥,ssl连接

使用命令:find / -perm -u=s -type f 2>/dev/null 查找系统中suid bit权限的执行文件

19.png

输入以下命令,二进制文件在没有完整路径的情况下运行(例如,未使用 /usr/bin/curl 或 /usr/bin/uname)

18.png

/usr/bin/menu以 root 用户权限运行,我们可以操纵我们的路径获得一个root shell:

17.png

复制了 /bin/sh shell,将其命名为curl,赋予它正确的权限 然后将它的位置放在我们的路径中。这意味着当 /usr/bin/menu
二进制文件运行时,它使用我们的路径变量来查找 curl 二进制文件。这实际上是 /usr/sh 的一个版本 以及这个文件以root身
份运行我们的shell。

您需要登录后才可以回帖 登录 | 注册

本版积分规则

1

关注

0

粉丝

9021

主题
精彩推荐
热门资讯
网友晒图
图文推荐

Powered by Pcgho! X3.4

© 2008-2022 Pcgho Inc.