Vulnhub-靶机-HACKLAB: VULNIX

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现；

地址:https://www.vulnhub.com/entry/hacklab-vulnix,48/

sudo nmap -n -p- -sC -sV -T5 -oN vulnix.nmap 10.10.10.129

nmap扫描结果

端口开的还是很多，先从25端口试试，验证下存在哪些用户，这里是可以手动nc命令尝试

也可以使用脚本进行测试，之前kali版本自带smtp-user-enum 现在最新版kali都已经删除了，所以咱们得自己下载，地址：https://github.com/pentestmonkey/smtp-user-enum 下载完成之后到对应目录直接执行即可

存在的用户还是很多的，其中有些用户系统用户名之类的，咱们就忽略好了，来看看存在的user用户

hydra -l user -P /usr/share/wordlists/rockyou.txt -t 4 -e nsr 10.10.10.129 ssh

成功登陆用户user，查看了下/etc/passwd 确认用户vulnix的uid和gid都是2008

到这里先放着，我们先挂载下nfs到本地

从上面知道了需要被挂载的目录是用户vulnix的家目录

挂载成功到本地，但是发现没权限，而且知道了用户vulnix的uid和gid，那么我们本地创建一个uid和gid都为2008的用户vulnix然后就可以进入nfs了

创建指定用户的uid和gid，首先需要创建对应的组之后才可以创建指定uid的用户

sudo groupadd -g 2008 vulnix
sudo adduser vulnix -uid 2008 -gid 2008

最终成功进入目标nfs的目录，但是啥都有没发现，只看到本地默认隐藏的文件

到了这一步就赶紧生成公钥和私钥，然后放在目标家目录里面直连即可

公钥下发完毕，登录用户vulnix试试

成功登录用户vulnix，而且还发现可以通过nfs提权，因为可以编辑nfs的配置文件，将root_squash更改为no_root_squash即可，更改完成之后需要让其生效有两种方式，一种是使用root权限执行exportfs -a，但是我们没有权限，那么我们只能重启目标靶机了，重启完成之后使用ssh登录用户vulnix

这里的坑是，上面要重启靶机，复制bash二进制文件必须是目标靶机的bash二进制文件，复制kali 的bash二进制文件执行有问题，然后最近的kali默认不使用root用户登录，所以需要先在目标靶机上复制bash二进制文件，此时的权限是vulnix，然后kali上切换至root用户进入挂载好的nfs目录，使用chown命令将其更改为root权限，然后再次退出使用用户vulnix登录进行执行提权即可