Vulnhub靶机：HACKNOS：OS-HACKNOS-2.1

介绍

系列： hackNos（此系列共7台）
发布日期：2020 年 1 月 18 日
难度：初级-中级
Flag : 2个，一个普通用户的，一个根用户的
学习：

• wordpress 安全测试
• 本地包含漏洞利用
• john破解
• 特权提升

靶机地址：https://www.vulnhub.com/entry/hacknos-reconforce,416/

信息收集

主机发现

netdiscover主机发现
对于VulnHub靶机来说，出现“PCS Systemtechnik GmbH”就是靶机。

sudo netdiscover -i eth0 -r 192.168.124.0/24

主机信息探测

信息探测：nmap -A -p- 192.168.124.9，只开放了22和80端口

网站探测

访问80端口，没什么有价值的信息

目录扫描

虽然gobuster没有扫出来什么有价值的结果，但是dirb扫出来了，从扫描结果中得知这是WordPress站点。这就好说了，WordPress有专门的漏扫工具。

gobuster dir -u http://192.168.124.9 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -t 100

访问一下网站，如下图

wpscan漏扫网站

wpscan --url http://192.168.124.9/tsweb/ -e vp --api-token se5dzb2kuZqWOYN3gK91L5asNOu1jNA0mdzDgSgndc8

其中，-e vp表示扫描插件漏洞，然后发现存在本地文件包含漏洞。

测试POC

根据参考链接，来到相关网站：https://www.exploit-db.com/exploits/46537

确认存在漏洞

通过查看页面源代码的方式（主要是方便阅读），得知靶机存在3个用户：root、rohit、flag。注意到flag用户的密码占位符的位置中有$符号，说明是经过md5加密的。

破解用户密码

使用join破解flag用户的密码，得到密码：topsecret
注：join一旦破解出了密码，再次破解的话就不再显示破解结果，需要通过--show查看破解结果

爆破
john --wordlist=/usr/share/wordlists/rockyou.txt --format=md5crypt-long pass.txt

显示结果，下面两个命令效果一样
john --show --format=md5crypt-long pass.txt
john --show pass.txt

SSH登录

登录之后，呵呵哒，自己权限低就算了，还不让去邻居家串门。只能找找看有没有什么敏感文件了。

发现一个md5加密的文件，再来一次密码破解

破解用户密码

经过了漫长的等待后，破解出来：!%hack41

Flag1

在前文测试POC的时候已经得知：靶机存在3个用户：root、rohit、flag，排除法得知这个密码是rohit用户的。

提权-Flag2

准备suod提权，竟然发现rohit用户可以使用root用户的所有命令，还提权个锤子，直接拿Flag2

参考

os-hackNos-2 Walkthrough