声明#

1. 本文为个人跟随b站up主红队笔记学习vulnhub的myfileserver靶机的复现通关记录，旨在分享靶机和记录学习心得体会，讲解若有谬误之处欢迎指正。
2. 该靶机下载地址为’https://www.vulnhub.com/entry/my-file-server-1,432/‘

渗透流程#

1. 在vmware部署靶机并开机后，打开kali对靶机进行信息收集，使用nmap执行nmap -sn 192.168.130.0/24(请替换成你的网段)进行主机发现，发现图中的192.168.130.135为靶机。（192.168.130.128为我的kali虚拟机的地址）并进行端口发现，执行nmap --min-rate 10000 -p- 192.168.130.135，并对开放端口记录用于后续渗透，发现如图端口。
2. 对端口进行详细扫描，执行nmap -sT -sV -sC -O -p21,22,80,111,445,2049,2121,20048 192.168.130.135，得到端口详细服务内容和系统版本，执行nmap --script=vuln -p21,22,80,111,445,2049,2121,20048 192.168.130.135用脚本扫一下漏洞，发现一些文件服务端口信息，以及内核版本范围信息。
3. 根据上面详细扫描结果，用anonymous匿名空密码登录ftp。
4. 尝试文件下载失败。
5. 使用smbmap查看smb服务可访问路径，并用smbclient连接。
6. 将一些看似有用的文件下载下来。
7. 在secure文件中获得一组凭据。
8. 在文件中passwordauthentication:no得知禁用了ssh密码登录。
9. 通过showmount -e ip显示服务器导出的共享目录列表，和刚才的是一样的。
10. 进行目录爆破，尝试获得更多有用信息，只找到一个readme.txt。
11. readme.txt给出一个密码rootroot1。
12. 尝试使用rootroot1用作刚才的ftp密码连接，成功连接，并且共享文件夹发现在目标的/home目录。
13. 关于ssh密钥登录，有这样的配置，该服务器进行公钥认证时，会去读取用户目录下的.ssh/authorized_keys文件，从中找出允许登录该用户的公钥。
14. 综合以上，我们可以通过ftp服务往用户/home目录传文件，用工具生成一对密钥，如图。
15. 按照如下方式将公钥重命名传到目标路径，并通过ssh指定密钥文件连接，拿下初始shell。

提权过程#

1. 经过一番搜索，包括对特权文件，自动任务，sudo权限等搜索，照应最开头的系统版本扫描，确认了内核版本较低，可能可以通过内核提权。
2. 上传linpeas到靶机上辅助判断，来给我们尝试优先级，力求减少尝试次数。
3. 根据linpeas在靶机上的执行结果，从中找到优先度高的逐一尝试，很多可能无法成功。
4. 有经验的可能会记得，该版本属于dirty cow影响版本，也可以搜索到利用脚本尝试。
5. 尝试40616.c，按照流程上传编译，执行时需要时补充参数，拿下root。

其它补充与收获总结#

1. 本靶机涉及nfs，smb，ftp等文件服务，会涉及不同探测和连接方式，关于这三种简单总结。

• FTP：文件上传下载，泄露配置文件/日志/备份；可写利用方式：上传webshell或.ssh/authorized_keys。
• SMB：Windows文件共享，泄露用户列表/组策略/密码文件；可写利用方式：上传恶意文件或可执行脚本。
• NFS：Linux网络文件系统，泄露导出目录结构/敏感数据；可写利用方式：本地挂载后写入公钥或植入SUID文件。

2. 脏牛漏洞（Dirty COW）是Linux系统中的本地提权漏洞，分为 1.0（CVE-2016-5195）和2.0（CVE-2022-0847）两个版本，该漏洞是Linux内核的内存子系统在处理写Copy-on-Write时存在条件竞争，导致可以破坏私有只读内存映射，进而修改其它只读内存映射，达到提升权限效果，主要影响2.6.22 < 3.9的linux系统，详细分析可见文章’https://www.seebug.org/vuldb/ssvid-92488’
3. 关于linpeas：linpeas是一款linux权限提升检测工具，会对可能导致权限提升的路径进行不同颜色区分标注，部署和使用十分简单，关于复杂参数和定制化扫描等可见文章’https://blog.csdn.net/gitblog_00875/article/details/154962858’