一個國外的滲透學習網站，補基礎知識點還是不錯的，適合新人學習網路安全（因為學習專案裡有提示）。

知識點

可直接開啟web的虛擬機器［非會員每天只有一個小時］，也可以使用VPN連線（個人建議還是用VPN爽點，畢竟自己的機子工具啥的用起來方便）。

samba

Samba是適用於和Unix的標準Windows互操作性程式套件。它允許終端使用者訪問和使用公司內聯網或網際網路上的檔案、印表機和其他常見共享資源。它通常被稱為網路檔案系統。

Samba基於伺服器訊息塊 （SMB） 的通用客戶端/伺服器協議。SMB 僅針對 Windows 開發，如果沒有 Samba，其他計算機平臺將與 Windows 機器隔離，即使它們是同一網路的一部分。

SMB 有兩個埠，445 和 139 FTP 執行在21埠 rpcbind 的埠 111。這只是一個將遠端過程呼叫 （RPC） 程式號轉換為通用地址的伺服器。當一個 RPC 服務啟動時，它告訴rpcbind它正在偵聽的地址和它準備服務的 RPC 程式號。ProFtpd 是一個免費的開源 FTP 伺服器。

Searchsploit 基本上只是一個針對exploit-db。com 的命令列搜尋工具 SUID：使用者訪問級別的特殊許可權具有單一功能：具有SUID的檔案始終以擁有該檔案的使用者身份執行，而不管使用者傳遞命令。如果檔案所有者沒有執行許可權，則在此處使用大寫的S /usr/bin/menu 菜單系統檔案 。

操作步驟

nmap掃描目標（檢視開啟了多少埠）：

nmap指令碼列舉smb共享：

nmap -p 445 ——script = smb-enum-shares。nse， smb-enumusers。nse 10。10。193。20（發現三個檔案共享）

使用smbclient連線網路共享：

smbclient//ip/anonymous （列出共享的檔案）

除了smbclient連線外，可遞迴下載 SMB 共享。

提交使用者名稱和密碼作為空：

開啟共享上的檔案，發現了一些有趣的事情：

為使用者生成SSH金鑰時為 Kenobi 生成的資訊有關 ProFTPD伺服器的資訊

nmap列舉111埠（該埠此例中用於訪問網路檔案系統）：

nmap -p 111 ——script=nfs-ls，nfs-statfs，nfs-showmount 10。10。70。208

發現 /var 資料夾下檔案：

使用netcat透過FTP埠連線機器，獲取 ProFtpd 的版本

nc ip 21

使用searchsploit查詢特定軟體版本漏洞：searchsploit pro

根據ProFtpd 的版本找到了一個漏洞利用：mod_copy 模組。

詳細：ProFTPd 1。3。5 - ‘mod_ copy’ Command Execution mod_copy 模組實現了SITE CPFR 和SITE CPTO命令，可用於將檔案/目錄從伺服器上的一 個位置複製到另一個位置。任何未經身份驗證的客戶端都可以利用這些命令將檔案從任 何複製 檔案系統的一部分到選定的目的地。使用 SITE CPFR 和 SITE CPTO 命令複製 Kenobi 的私鑰。

nc ip 21

SITE CPFR /home/kenobi/。ssh/id_rsa SITE CPTO /var/tmp/id_rsa /var 目錄是我們可以看到的掛載。所以我們現在已經將 Kenobi 的私鑰移動到 /var/tmp 目 錄。

將 /var/tmp 目錄掛載到我們的機器上：

mkdir /mnt/kenobiNFS mount ip：/var /mnt/kenobiNFS ls -la /mnt/kenobiNFS

複製kenobi使用者私鑰，ssl連線

使用命令：find / -perm -u=s -type f 2>/dev/null 查詢系統中suid bit許可權的執行檔案

輸入以下命令，二進位制檔案在沒有完整路徑的情況下執行（例如，未使用 /usr/bin/curl 或 /usr/bin/uname）

/usr/bin/menu以 root 使用者許可權執行，我們可以操縱我們的路徑獲得一個root shell：

複製了 /bin/sh shell，將其命名為curl，賦予它正確的許可權，然後將它的位置放在我們的路徑中。這意味著當 /usr/bin/menu 二進位制檔案執行時，它使用我們的路徑變數來查詢“curl”二進位制檔案。這實際上是 /usr/sh 的一個版本，以及這個檔案以root身份執行我們的shell。