Hacker kid靶场渗透

最近工作无聊的时候会看看一些靶场玩玩，今天就打了这么一个靶场。

这个靶场很简单，这里来讲讲我的渗透过程。

一、搭建环境

打靶场之前肯定要先搭建环境，首先下载靶场文件

https://download.vulnhub.com/hackerkid/Hacker_Kid-v1.0.1.ova（下载地址）

下载好之后可以安装了，安装好后记得查看一下MAC地址，这样方便后面扫描（因为如果你的虚拟机太多了，不好找的~~~~~~）

这里我的MAC地址为00:0C:29:15:F6:79

二、IP和端口扫描

环境搭建好在之后，就要进行IP和端口的扫描了~~~

这里我用的是nmap（因为好找还顺手~~比较懒~~~）

扫描后，通过对比MAC地址（就是在这里用的）可以看到 NAT 模式的网段为 192.168.1.0/24 ，用 namp 进行扫描，得到 ip 地址为 192.168.1.141 ，端口开 放的是 53 ， 80 和 9999

（这里很多人会出现扫不到IP的问题，我之前也遇到过这样的问题，大家想了解，感兴趣的话，可以等等，我之后会出解决办法和原理的，毕竟还要做勤劳的打工人~~~~）

好了，言归正传，到目前为止，我们前期的环境以及信息收集就算都做好了，接着就要开始做渗透，挖漏洞了~~~

三、漏洞挖掘

首先，我们要用发现的IP和端口，去浏览器打开

这里我们发现80端口打开是一个页面，9999端口下的是一个登录框，53端口则打不开

但是，因为没有账号密码，所以先看80端口

查看源代码，发现了要使用 GET 参数方式用 page_no 去查看页面（ 一般没有发现问题的话大家就要习惯的看一下源码，就是右击鼠标查看网页源码的那个哦~~~~有时候会有意想不到的发现呢~~）

那我们就用一下，修改url却没发现什么变化

那么接下来要干嘛呢？我们都知道有很多数据是不会体现在页面的，也就是我们看不到，那么就要用我们的burp去抓包看看了~~~~

使用 burp 进行抓包，爆破一下参数，发现 21 的长度不一样

那么我们就可以看一下将这个数字替换成21，页面会有什么变化

可以看到有提示为一个黑客创建了很多域名，以便能够随时访问服务器，其中有一个域名是： hackers.blackhat.local

可是因为这是我们的靶场，这个域名肯定是打不开的，那么要怎么办呢？？？

这里就要用到另一个信息安全中的知识了，我们要用到本地的/etc/hosts文件（后面也会不定时的和大家分享一些适合初学者宝宝的知识点~~~~~）

把 hackers.blackhat.local 添加到 /etc/hosts 中，然后打开这个域名

我们就可以成功打开这个登录页面了

打开登录页面

我们通过burp抓包后，发现他是XXE的漏洞

使用 burp 抓包构造语句

这个图片是后面从我的pdf文件上面扣下来的，大家将就着看吧~~~~

不知道读取哪些文件有用，参考了一下网上的各种文章，应该是要读取 .bashrc 文件

发现被加密了！！！

使用base64解码看一下，得到账号密码为admin:Saket!#$%@!!       

想起来前面发现的那个9999的端口，尝试登陆

但是后面测试却登录不上去

后面才发现这个是在/home/saket 下的，所以账号密码应该是: saket:Saket!#$%@!!

再次尝试，登录成功了就

通过信息收集，发现9999端口是 tornado python的框架

那么一般就可能是SSTI 

这里尝试SSTI 注入！！！！

（SSTI怎么注入以及注入的原理这里就不和大家详细介绍了，大家可以查看网上的文章，或者等我之后的分享哦~~~~）

后面我们就正常的监听，反弹shell就可以了，记得拿到权限后提权哦！

（这个提权挺难的，当时我也一时没想到，参考了很多别人的教程才出来的）

总体来说这个靶机是有一定难度的，不建议新手小白来做哦~~~~~