nmap掃描

nmap -sS -Pn -A 10.129.10.105查詢到開(kāi)放的端口及服務(wù)：22-ssh、111-rpcbind、2049-nfs、612-mountd，如圖：

創(chuàng)新互聯(lián)的客戶來(lái)自各行各業(yè)，為了共同目標(biāo)，我們?cè)诠ぷ魃厦芮信浜?，從?chuàng)業(yè)型小企業(yè)到企事業(yè)單位，感謝他們對(duì)我們的要求，感謝他們從不同領(lǐng)域給我們帶來(lái)的挑戰(zhàn)，讓我們激情的團(tuán)隊(duì)有機(jī)會(huì)用頭腦與智慧不斷的給客戶帶來(lái)驚喜。專業(yè)領(lǐng)域包括成都做網(wǎng)站、網(wǎng)站建設(shè)、電商網(wǎng)站開(kāi)發(fā)、微信營(yíng)銷、系統(tǒng)平臺(tái)開(kāi)發(fā)。

mountd服務(wù)檢查

showmount -e 10.129.10.105發(fā)現(xiàn)存在可遠(yuǎn)程掛載的目錄：/home/user/storage(everyone)嘗試掛載目錄及其上級(jí)目錄后發(fā)現(xiàn)僅可掛載目錄：/home/user/storage(everyone)

掛載目錄：mount -t nfs 10.129.10.105:/home/user/storage /tmp/test，發(fā)現(xiàn)存在一個(gè)壓縮文件：backup.7z

解壓壓縮包時(shí)，發(fā)現(xiàn)有密碼，于是開(kāi)始破解壓縮包密碼,破解可使用rarcrack暴力破解或通過(guò)7z命令進(jìn)行字典爆破。其中，rarcrack破解命令為：rarcrack --threads 4 --type 7z backup.7z；7z破解腳本：7z-crack

./7z-crack.sh /tmp/backup.7z /usr/share/wordlists/rockyou.txt

最終，7z破解腳本成功破解到壓縮包密碼：chocolate

壓縮包文件檢查

壓縮包加壓后，發(fā)現(xiàn)了id_rsa和id_rsa.pub，于是猜測(cè)可直接通過(guò)id_rsa.pub登陸，在XSHELL中通過(guò)id_rsa.pub登陸時(shí)，需要輸入密碼，于是，使用工具破解id_rsa文件的密碼，破解工具。

./id_rsa-crack.sh /tmp/id_rsa /usr/share/wordlists/rouckyou.txt

最后，拿到id_rsa密碼：12345678

shell提權(quán)

進(jìn)入shell后，發(fā)現(xiàn)當(dāng)前用戶是一個(gè)ksh，系統(tǒng)是FreeBSD 6.4的，搜索之后發(fā)現(xiàn)內(nèi)核沒(méi)有可用來(lái)提權(quán)的漏洞，于是將重點(diǎn)放在配置、文件和服務(wù)上。發(fā)現(xiàn)etc目錄下有doas配置，發(fā)現(xiàn)當(dāng)前用戶可用doas提升到root訪問(wèn)/usr/bin/less來(lái)訪問(wèn)/var/log/auth.log文件，于是聯(lián)想到linux系統(tǒng)中的SUID提權(quán)，于是，嘗試從less到shell的跳轉(zhuǎn)，最后無(wú)法跳轉(zhuǎn)，原因暫不清楚；通過(guò)輸入h后發(fā)現(xiàn)可以使用e來(lái)讀取一個(gè)新的文件，于是讀取到flag。