挺好的盒子,学到很多新东西
nmap开路
看看rpc信息
开了个nfs
在线学习一波nfs渗透技术
showmount -e <ip>
得到
挂载这个共享文件
看到有个7z
下载下来,发现有密码
网上找找。。。好像没啥工具能搞7z(这个压缩包本身没有加密,里面的文件被加密了。。。很麻烦)
找了个在线网站
解压,看看有啥东西
图片啥都没有
有个公钥,私钥
公钥结尾的数据
再结合之前nfs的路径/home/user/storage
猜测用户是user
ssh登录一下
???
私钥有密码???
john 启动
…
不支持这个奇怪的openssh
只支持BEGIN RSA PRIVATE KEY
…
然而openssh私钥转换成rsa私钥需要密码。。。
mdzz
注意到ssh-keygen对私钥操作时有带密码的选项。
写个脚本爆破
#!/bin/bash
for line in `cat /usr/share/wordlists/fasttrack.txt`
do
if ssh-keygen -c -C "naivekun" -P $line -f key.txt
then
echo $line
fi
done
-c是改注释
拿系统自带的字典跑一下
得到私钥密码:12345678
登录
开始提权
openbsd???
貌似没有内核提权。。。
crontab没东西
看看suid
find / -perm -u+s
发现这个东西
看看配置文件/etc/doas.conf
有个less
运行doas /usr/bin/less /var/log/authlog
按v进入vi模式
:!sh即可
搞定
作者还送了两个破解7z和ssh私钥密码的命令