Os-hackNos-1:
靶机下载 https://www.vulnhub.com/entry/hacknos-os-hacknos,401
环境如下:
KALI: 192.168.59.141/24
靶机:192.168.59.146/24
目标获取2个flag
搭建环境:
PS:(Vulnhub靶机检测不到IP
修改完ip 重启就ok了)
环境搭建成功!
信息收集:
扫描目录
./gobuster dir -u http://192.168.59.146/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt
发现服务:
用kali中的whatweb来探测一下Drupal的版本,看是否有相应的漏洞,发现是Drupal7
在GitHub上面查找一下是否有该框架的漏洞以及exp,或者利用msf搜索,我这利用msf来搜索,然后通过网上的搜索Drupal框架的CVE-2018-7600可以利用,这里选择1
设置路径和目标,并且运行(run)
攻击成功后,没有交互式shell,需要提升为交互式shell
python3 -c “import pty;pty.spawn(’/bin/bash’)”,这里就得到了网站权限
返回上级目录,查询到base64的密文
看不懂,直接百度
解密:james:Hacker@4514
然后尝试利用su账户密码登录,发现不能登录
然后尝试ssh登录,还是不能登录
我们可以尝试一下suid提权( SUID (Set owner User ID up on execution) 是给予文件的一个特殊类型的文件权限。在 Linux/Unix中,当一个程序运行的时候, 程序将从登录用户处继承权限。SUID被定义为给予一个用户临时的(程序/文件)所有者的权限来运行一个程序/文件。用户在执行程序/文件/命令的时候,将获取文件所有者的权限以及所有者的UID和GID。),然后发现有一个wget,这个可以用来下载文件
然后又一个思路是把/etc/passwd的文件下载下来,然后添加一个具有root权限的用户,在传回去覆盖它。这里我们创建一个用户
openssl passwd -1 -salt myqf 123456
$1$myqf$wD2.LTxOJb7fsYoC1agE6/
└─# python2 -m SimpleHTTPServer 80
copy /etc/passwd 替换root的密码和用户名
myqf:$1$myqf$wD2.LTxOJb7fsYoC1agE6:0:0:root:/root:/bin/bash
成功写入:
成功提权:
查看root.txt
查看一下ssh,发现ssh防护做的很好,只需要把目录给增强一下即可。
参考:https://blog.csdn.net/Long_gone/article/details/104073135