VulnHub-Node

1.靶机部署

kali安装：https://blog.csdn.net/l2872253606/article/details/123592717?spm=1001.2014.3001.5502
靶机下载：https://download.vulnhub.com/node/Node.ova
使用VMware打开该文件：

设置好名称和虚拟机位置：
注意：导入过程中可能会提示导入失败，点击重试即可。

虚拟机的基本设置：

导入成功，打开虚拟机，到此虚拟机部署完成！

注意：靶机的网络连接模式必须和kali一直，让DC靶机跟kali处于同一网段，这用kali才能扫出DC的主机。

2.信息收集

2.1 探测IP

使用nmap扫描同一个段下存活的IP

nmap 192.168.11.0/24

注意，这里说明一下：
如何在网段内找到靶机是哪个，这个前面的靶机已经演示过很多方法了，这里不做赘述，简单总结一下：

• 如果知道靶机mac地址，那么我可以对比mac地址
• 如果知道IP地址，那么可以对IP进行详细扫描，直接略过主机发现部分。
• 如果什么都不知道，那就只能全网段，全端口扫描，然后找有用的IP和端口进行访问验证。

这里我进行了全端口扫描，发现这个IP的3000端口可以访问，访问之后确定了我们的靶机：

2.2 详细信息扫描

使用nmap对靶机开放的端口进行更详细的扫描：

nmap -A -T4 -p- 192.168.11.153

2.3 敏感目录

dirb http://192.168.0.110:3000

发现没有找到，换个字典试试，查看一下有什么字典：

dpkg -L dirb

反正就是有好多字典，可以换字典试试，或者换其他工具试试，都可以，这里我就不试了，但是你们得试，这也是一种手法。

2.4 指纹收集

whatweb -v 192.168.11.153

3.渗透过程

3.1 漏洞发现

一筹莫展之际，让我在源码中找到了有用的线索，这里有好多js文件，然后顺着路径看看它里面都是什么。

这里为了节约时间，其他的我就不看了，我只展示有用的。
在 assets/js/app/controllers/home.js 文件里，发现一个莫名的路径：

管他是什么，访问看看：
发现了用户名和密码，显然密码是经过加密的，加密方式应该是MD5。
什么？你问我怎么知道是MD5的？见得多了就知道了！！！

这里给大家普及一下MD5：

• MD5是一种哈希算法，而不是加密算法。MD5哈希算法不可逆，因此只能通过跑字典解密。
• MD5算法的目的是将输入的数据映射为一个128位的哈希值，这个哈希值通常用于验证数据完整性，而不是加密。

以下是使用Python计算输入字符串的MD5哈希值的代码示例，感兴趣的朋友可以研究一下：

import hashlib

input_str = "Hello World!"

# 创建MD5哈希对象
hash_obj = hashlib.md5()

# 更新哈希对象
hash_obj.update(input_str.encode())

# 获取哈希值
md5_hash = hash_obj.hexdigest()

print("MD5 哈希值为：", md5_hash)

破解密码：
我用的是下面这个网站，简洁粗暴：
让你无语的MD5：https://www.somd5.com/



得到两组用户名和密码：

tom:spongebob
mark:snowflake

分别登录网站：

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eAeKol6h-1679734503168)(null#averageHue=#e7d2a6&clientId=u966a8576-0dbb-4&from=paste&height=929&id=uc3716174&name=image.png&originHeight=929&originWidth=1920&originalType=binary&ratio=1&rotation=0&showTitle=false&size=49455&status=done&style=none&taskId=uf862a1db-b754-4788-bac5-3d2e209fa72&title=&width=1920)]
使用tom用户登入发现页面显示说不是管理员用户，没有权限去访问，使用mark用户也显示这个，那猜想可不可能是ssh远程连接账号密码呢，经过尝试发现也不是
观察这个url发现上一级目录是users目录，访问试试：

发现多了一组用户名和密码：

解密，得到用户名和密码：

myP14ceAdm1nAcc0uNT:manchester

登录后台：

登录成功后，发现该用户是管理员，还有个下载文件的按钮，下载下来试试：

很明显，base64加密，解密试试：

base64 -d myplace.backup

什么玩意儿？没解出来，连我的shell都给我改了？

既然传统方法行不通，那就只能用打压缩包解密的法子了，其实，当看见加密文件的内容很多的时候，就应该直接用打包解密的方法，但是由于是教程，就只能一步一步来了。

base64 -d myplace.backup > myplace
unzip myplace

还要密码，我哪知道什么密码啊，破呗，用kali自带的fcrackzip：
介绍几个fcrackzip常用命令：

fcrackzip命令：
-v（详细信息）
-b（爆破）
-u（使用解压缩来清除密码错误）
-c（使用字符串）
-p（密码）

fcrackzip -v -b -u -c a -p magicaaaa myplace

得到好多目录：
但是哪个有用呢？
对于node.js而言我们首先要基本熟悉他的构架，其中 app.js，项目入口及程序启动文件，感兴趣的自己去查查吧。
先查看app.js文件；

查看app.js文件：
我们发现了一个Node.js 连接 MongoDB 的操作；

单独拿出来看看：
学过JDBC的同学应该都知道，这是连接数据库的URL，从中我们可以得到用户名，密码等信息。

mongodb://mark:5AYRft73VtFpc84k@localhost:27017/myplace?authMechanism=DEFAULT&authSource=myplace
数据库://用户名：密码@地址：端口

试一下能不能ssh连接：

连接成功：

查看一下身份，ID和系统内核等信息：

发现内核是Ubuntu 16.04，这个内核是有一个内核漏洞的，漏洞编号为：CVE-2017-16995，感兴趣的可以去了解一下：
启动msf，查找该内核：

msfconsole
searchsploit Ubuntu 16.04

这里我用的是这个（高亮标出来了）：

将文件传到靶机的tmp文件夹：
传输方式不做限制，我这里用的scp，scp是一些常用的shell工具，例如Xshell，finalshell等传文件的底层原理。至于为什么传到tmp文件夹，自己去查！

编译文件，并且运行：

总结：

该靶机主要考察了一些细节问题，例如刚开始的代码审计等，还有发现第四个用户，其次就是编码的问题，常见的编码有什么特征要知道，解码的时候建议多换几个网站解，最后就是内核提权，总的来说比较简单！！！