靶机官网：haclabs: no_name^[1]

实战思路：

1. 主机发现
2. 端口发现（服务、组件、组件）
3. 漏洞发现（获取权限）
1. 80端口/HTTP服务
1. 组件漏洞
2. URL漏洞（目录、文件）
4. 提升权限
1. sudo
2. suid
5. 后记

一、主机发现

本次攻击指定IP，不涉及主机发现过程。

二、端口发现（服务、组件、组件）

使用命令 sudo -u root nmap 172.16.33.49 -n -Pn -p- --reason -sV -sC -O，发现主机开放的端口、提供的服务、使用的组件、组件的版本。

开放的端口	提供的服务	使用的组件	组件的版本
80/tcp	http	Apache httpd	2.4.29
-	os	Ubuntu Linux	？

三、漏洞发现（获取权限）

80端口/HTTP服务

组件漏洞

01、中间件组件：使用命令searchsploit Apache httpd 2.4.29和searchsploit Apache httpd 2.4.，未发现Apache httpd 2.4.29组件的Nday漏洞。

02、应用组件：使用Wappalyzer、FindSomething等浏览器插件自动识别应用组件，使用BurpSuite等工具手动识别应用组件，均无发现。

URL漏洞（目录、文件）

01、手动浏览：直接访问http://172.16.33.49/，发现一个查询表单，一般会存在SQLi和XSS漏洞。

首先测试SQLi漏洞，分别使用单引号和双引号进行闭合，由于没有回显，因此同时使用时间盲注payloadand sleep(5)#，在响应中均未发现报错或延时，说明可能不存在SQLi漏洞。

然后测试XSS漏洞，使用特殊字符串OneMoreThink，在响应中未发现该字符串，说明可能不存在XSS漏洞。

从响应内容Fake ping executed判断该查询表单可能还存在命令注入漏洞，使用payload||id，在响应中未发现命令执行结果，说明可能不存在命令执行漏洞。

02、目录爆破：使用命令dirb http://172.16.33.49/爆破目录和文件，发现/admin文件。

访问http://172.16.33.49/admin发现只有4张图片。

下载4张图片到本地，使用命令steghide –info 图片查看是否存在隐写，发现ctf-01.jpg、haclabs.jpeg、new.jpg3张图片存在隐写，但都需要密码才能提取隐写的内容，另外Short.png1张图片不存在隐写。

使用命令stegseek 图片爆破隐写的密码，发现haclabs.jpeg的隐写密码是harder、new.jpg.out的隐写密码是lol。

使用命令cat haclabs.jpeg.out查看文件内容，发现是base64编码，使用命令cat haclabs.jpeg.out | base64 -d查看文件内容，获得文件名superadmin.php。使用命令cat new.jpg.out查看文件内容，获得一些用户名。

访问http://172.16.33.49/superadmin.php又发现查询表单，这次提示输入一个IP去ping。

一般这种情况会存在命令注入漏洞，使用payload||id，在响应中发现命令执行结果，说明存在命令执行漏洞。

原文始发于微信公众号（OneMoreThink）：靶机实战(8)：OSCP备考之VulnHub haclabs no_name