HTB靶机014-Sunday-WP

最新推荐文章于 2025-12-09 09:40:28 发布

原创

最新推荐文章于 2025-12-09 09:40:28 发布 · 931 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#靶机 #HTB #OSCP-Like #linux

本文详细记录了针对主机10.10.10.76的渗透测试过程，包括使用Nmap进行端口扫描，发现开放的Finger服务并枚举用户，找到可登录的SSH用户sunny和sammy，利用弱密码暴力破解，以及通过sudo权限获取root访问。此外，还讨论了Web服务的初步调查和利用sudoers文件重写以提升权限。

Sunday

靶机IP：10.10.10.76

PortScan

Nmap 快速扫描：

┌──(xavier㉿kali)-[~]
└─$ sudo nmap -sSV -T4 -F 10.10.10.76           
Starting Nmap 7.93 ( https://nmap.org ) at 2023-05-06 00:10 CST
Nmap scan report for 10.10.10.76
Host is up (0.27s latency).
Not shown: 97 closed tcp ports (reset)
PORT    STATE SERVICE VERSION
79/tcp  open  finger?
111/tcp open  rpcbind 2-4 (RPC #100000)
515/tcp open  printer
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
....

全端口扫描：

┌──(xavier㉿kali)-[~]
└─$ sudo nmap -sSV -T4 -p- -sC 10.10.10.76
Starting Nmap 7.93 ( https://nmap.org ) at 2023-05-06 00:11 CST
Warning: 10.10.10.76 giving up on port because retransmission cap hit (6).
Nmap scan report for 10.10.10.76
Host is up (0.27s latency).
Not shown: 65507 closed tcp ports (reset)
PORT      STATE    SERVICE        VERSION
79/tcp    open     finger?
| fingerprint-strings: 
|   GenericLines: 
|     No one logged on
|   GetRequest: 
|     Login Name TTY Idle When Where
|     HTTP/1.0 ???
|   HTTPOptions: 
|     Login Name TTY Idle When Where
|     HTTP/1.0 ???
|     OPTIONS ???
|   Help: 
|     Login Name TTY Idle When Where
|     HELP ???
|   RTSPRequest: 
|     Login Name TTY Idle When Where
|     OPTIONS ???
|     RTSP/1.0 ???
|   SSLSessionReq, TerminalServerCookie: 
|_    Login Name TTY Idle When Where
|_finger: No one logged on\x0D
111/tcp   open     rpcbind
515/tcp   open     printer
6787/tcp  open     ssl/smc-admin?
|_ssl-date: TLS randomness does not represent time
| tls-alpn: 
|_  http/1.1
| ssl-cert: Subject: commonName=sunday
| Subject Alternative Name: DNS:sunday
| Not valid before: 2021-12-08T19:40:00
|_Not valid after:  2031-12-06T19:40:00
22022/tcp open     ssh            OpenSSH 7.5 (protocol 2.0)
| ssh-hostkey: 
|   2048 aa0094321860a4933b87a4b6f802680e (RSA)
|_  256 da2a6cfa6bb1ea161da654a10b2bee48 (ED25519)
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :

对开放的端口使用脚本扫描 -sC

┌──(xavier㉿kali)-[~]
└─$ sudo nmap -sSV -T4 -p79,111,515 -sC 10.10.10.76
Starting Nmap 7.93 ( https://nmap.org ) at 2023-05-06 00:14 CST
Nmap scan report for 10.10.10.76
Host is up (0.26s latency).

PORT    STATE SERVICE VERSION
79/tcp  open  finger?
|_finger: No one logged on\x0D
| fingerprint-strings: 
|   GenericLines: 
|     No one logged on
|   GetRequest: 
|     Login Name TTY Idle When Where
|     HTTP/1.0 ???
|   HTTPOptions: 
|     Login Name TTY Idle When Where
|     HTTP/1.0 ???
|     OPTIONS ???
|   Help: 
|     Login Name TTY Idle When Where
|     HELP ???
|   RTSPRequest: 
|     Login Name TTY Idle When Where
|     OPTIONS ???
|     RTSP/1.0 ???
|   SSLSessionReq, TerminalServerCookie: 
|_    Login Name TTY Idle When Where
111/tcp open  rpcbind 2-4 (RPC #100000)
515/tcp open  printer
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :

脚本扫描并没有给出实质性的帮助。

搜索nmap脚本库finger相关的脚本，只有一个，输出结果和上面一样，没什么帮助。

┌──(xavier㉿kali)-[~]
└─$ ls -l /usr/share/nmap/scripts/ | grep finger 
-rw-r--r-- 1 root root  1083  3月28日 17:20 finger.nse
-rw-r--r-- 1 root root  4183  3月28日 17:20 fingerprint-strings.nse
-rw-r--r-- 1 root root 19339  3月28日 17:20 http-waf-fingerprint.nse

┌──(xavier㉿kali)-[~]
└─$ sudo nmap -sSV -T4 -p79 10.10.10.76 --script finger.nse

在脚本扫描的同时，通过telnet进行了端口探测：

┌──(xavier㉿kali)-[~]
└─$ telnet 10.10.10.76 79
Trying 10.10.10.76...
Connected to 10.10.10.76.
Escape character is '^]'.
help
Login       Name               TTY         Idle    When    Where
help                  ???
Connection closed by foreign host.

应该是finger服务，搜索相关资料。

finger

finger服务，参考文章：

【古老的finger服务—详细讲解】
【Linux finger命令】

finger基于传输控制协议，用TCP端口79。本地主机打开一个远程主机在Finger端口的连接。远程主机的RUIP（远程用户信息程序）变成有效来处理请求。本地主机发送给RUIP一行基于Finger查询说明的请求，然后等待RUIP响应。RUIP接收处理这个请求，返回应答，然后发起连接的关闭。本地主机接收到应答和关闭信号，然后执行本地端的关闭。

┌──(xavier㉿kali)-[~]
└─$ finger root@10.10.10.76
Login       Name               TTY         Idle    When    Where
root     Super-User            console      <Oct 14, 2022>

第一列Login是用户登陆名，在此为root。

第二列Name是用户真实姓名，在此为Super-User。

第三列TTY是终端名，在此为console。

第四列Idle显示用户在此终端上的活动时间。如果记录是空白，则表示那个人正在使用自己的终端。否则，你将看见终端空闲了多长时间。在此表示那个人正在使用自己的终端。

第五列When显示用户登陆的日期和时间，在此为2022年10月14日。

第六列Where显示用户是如何登录的。如果此项为空白，则表示这个人正在使用直接连接到主机的终端。否则这个人通过给定名字的计算机或终端服务器连接主机。在此为直接连接。

该怎么利用呢？以下是我做的一下尝试：

执行了一遍finger命令下的所有选项，没有获得有价值的信息；
想用hydra暴破，却发现hydra不支持finger服务；
searchsploit finger，搜索到的EXP感觉都跟这个服务关系不大

有一个OpenVms 8.3 Finger Service - Stack Buffer Overflow的EXP，尝试执行，失败了：

在这里插入图片描述

当我通过搜索引擎以finger信息泄露为关键词搜索时，我找到了这段描述：

Finger 服务远程信息泄露

简介

获得有关远程主机的信息是可能的。

描述

远程主机正在运行“finger”服务。

该服务旨在显示当前是谁登录到远程系统，并提供有关远程系统用户的信息。它为攻击者提供了有用的信息，因为它允许攻击者获得用户名、确定设备的使用方式并查看每位用户最后一次登录的时间。

解决方案

注释掉 /etc/inetd.conf 中的“finger”行并重新启动 inetd 进程

所以它的一种利用方式是通过枚举用户名获取信息吗？

尝试一些常用的用户名：

┌──(xavier㉿kali)-[~]
└─$ finger admin@10.10.10.76
Login       Name               TTY         Idle    When    Where
adm      Admin                              < .  .  .  . >
dladm    Datalink Admin                     < .  .  <

最低0.47元/天解锁文章