Vulnhub Connect-The-Dots

0x01:端口扫描

主机发现

nmap -sn 192.168.231.0/24

image-20241203211305975

全端口扫描

nmap --min-rate 10000 -p- 192.168.231.144

image-20241203211527133

开放21ftp,80http,111rpcbind,2049nfs

rpcbind 主要的作用是将网络上的 RPC 服务与其对应的端口进行关联。它充当了客户端和服务器之间的桥梁,使得客户端可以通过服务的名称或标识符来找到服务器端口,进而建立连接。例如,NFS(网络文件系统)使用 rpcbind 来映射服务的端口。

NFS 是一个用于在网络中共享文件系统的协议,允许用户在不同计算机之间访问和管理远程文件系统,就像本地文件系统一样。

UDP扫描

nmap -sU --top=20 192.168.231.144

image-20241203212052592

image-20241203212058355

服务 端口号 协议 描述
68 dhcpc 68 DHCP(客户端) DHCP 客户端用于接收服务器分配的 IP 地址。
631 ipp 631 IPP(打印协议) 互联网打印协议,用于网络打印机通信和管理。

详细端口扫描

nmap -sT -sC -sV -O --min-rate 10000 -p21,80,111,2049,7822 192.168.231.144

image-20241204145315902

7822端口为ssh,rpcbind挂载了一些服务

漏洞扫描

nmap --script=vuln -p21,80,111,2049 192.168.231.144

image-20241203212855474

image-20241203212905139

0x02:nfs挂载

查看nfs共享目录

showmount -e 192.168.231.144

image-20241204141031115

我们挂载到本地

mount -t nfs 192.168.231.144:/home/morris /root/test/morris

查询状态

df -h

image-20241204141747896

image-20241204141945223

没有查询到有用的信息

取消挂载

umount /root/test/morris

0x03:web渗透

扫目录

dirsearch -u http://192.168.231.144
gobuster dir -u http://192.168.231.144/ -x zip,txt,rar -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

image-20241204142650912

image-20241204142924471

先看hits.txt

image-20241204143004626

提示我们让我们保持枚举,那看来得多找找

经过一番查找在/mysite目录下找到关键信息

image-20241204143157635

/bootstrap.min.cs里发现一串JSFUCK

image-20241204144625333

解密后得到一串凭证TryToGuessThisNorris@2k19

image-20241204144602510

先尝试ssh登录

image-20241204145450929

经过一番尝试发现凭证是morris | TryToGuessThisNorris@2k19,成功登录

0x04:权限提升

查看权限

image-20241204151925614

查看用户

image-20241204161239255

除了我们这个账户还有一个刚才nfs挂载分享的用户morris

查看可写文件

image-20241204151322322

没有价值信息

查看自动任务

image-20241204152157029

查看S位

image-20241204152242771

又看到老朋友pkexec,而且它是有polkit,查看是否具有python或者gcc

image-20241204152326809

只有python,我们使用python版本的pwnkit

image-20241204155617629

0x05:总结反思

1.拿到那个凭证的时候让我们猜,我们可以制作一个字典去爆破的

image.png

2.此靶机可以横向移动,但是意义不大

image-20241204162036048

因为权限问题无法在本地读取,但是它位于html目录下,我们直接拿,查看

swp文件使用vim -r查看

vim -r secretfile.swp

image-20241204163854268

就拿到了morris的密码了

3.除了pwnkit提权外,还有tar的越权读取

在linpeas上给出了tar具有read_search功能,这使得我们可以越权读取文件

image-20241204164329603

tar -czvf 1.tar.gz /root
scp -r -P 7822 norris@192.168.231.144:/home/norris/* .
tar -xzvf 1.tar.gz

image-20241204165621647

image-20241204165634344

posted @ 2024-12-04 17:01  kelec0ka  阅读(44)  评论(0)    收藏  举报