如何访问 Samba 共享、如何操纵易受攻击的 proftpd 版本以获取初始访问权限以及如何通过 SUID 二进制文件将您的权限提升到 root 权限。

信息收集nmap扫描

-sC 运行默认脚本

-sV 枚举应用程序版本

-v 冗长的

-vv 非常详细

Nmap扫描一共开了7个端口

枚举 Samba 

Samba 是适用于 Linux 和 Unix 的标准 Windows 互操作性程序套件。它允许最终用户访问和使用公司内联网或互联网上的文件、打印机和其他常用共享资源。它通常被称为网络文件系统。

Samba 基于服务器消息块 (SMB) 的通用客户端/服务器协议。SMB 专为 Windows 开发，如果没有 Samba，其他计算机平台将与 Windows 计算机隔离，即使它们是同一网络的一部分。

使用 nmap，我们可以枚举 SMB 共享的计算机。

Nmap 能够运行以自动执行各种网络任务。有一个脚本可以列举份额！

nmap -p 445 --script=smb-enum-shares.nse,smb-enum-users.nse IP

SMB 有两个端口，即 445 和 139。

或者先使用 Smbclient 工具通过空会话枚举开放共享：

smbclient -L \\IP

然后下一步是使用所有 SMB 枚举脚本对 s139 和 445 运行 Nmap 扫描，以进一步枚举此服务。

nmap -p 139,445 –script smb-enum* IP

这表明“匿名”共享映射到位于 Kenobi 用户主目录中的“共享”文件夹。

在大多数 Linux 发行版中，smbclient 已安装。让我们检查其中一个共享。

smbclient // IP/anonymous

匿名共享也可以使用以下命令递归下载，无需提交用户名和密码。：

smbget -R smb://IP/anonymous

检查log.txt文件可以显示 Kenobi 为用户生成 SSH 密钥时的信息以及有关 ProFTPD 服务器的信息。

打开共享上的文件。发现了一些有趣的事情。

• 为用户生成 SSH 密钥时为 Kenobi 生成的信息
• 有关 ProFTPD 服务器的信息。

FTP 在21号上运行等等

端口 111 正在运行rpcbind服务。这是一个将远程过程调用 (RPC) 程序号转换为通用地址的服务器。当启动 RPC 服务时，它会告诉rpcbind它正在监听的地址以及它准备服务的 RPC 程序号。

这里，端口 111 是访问网络文件系统的端口，可以使用nmap进行枚举以显示已挂载的卷：/var

nmap -p 111 --script=nfs-ls,nfs-statfs,nfs-showmount IP