介绍信息收集
主机发现主机信息探测 网站探测
目录扫描wpscan漏扫网站测试POC破解用户密码 SSH登录
破解用户密码Flag1提权-Flag2 参考
介绍系列: hackNos(此系列共7台)
发布日期:2020 年 1 月 18 日
难度:初级-中级
Flag : 2个,一个普通用户的,一个根用户的
学习:
wordpress 安全测试本地包含漏洞利用john破解特权提升
靶机地址:https://www.vulnhub.com/entry/hacknos-reconforce,416/
信息收集 主机发现netdiscover主机发现
对于VulnHub靶机来说,出现“PCS Systemtechnik GmbH”就是靶机。
sudo netdiscover -i eth0 -r 192.168.124.0/24主机信息探测
信息探测:nmap -A -p- 192.168.124.9,只开放了22和80端口
访问80端口,没什么有价值的信息
虽然gobuster没有扫出来什么有价值的结果,但是dirb扫出来了,从扫描结果中得知这是WordPress站点。这就好说了,WordPress有专门的漏扫工具。
gobuster dir -u http://192.168.124.9 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -t 100
访问一下网站,如下图
wpscan --url http://192.168.124.9/tsweb/ -e vp --api-token se5dzb2kuZqWOYN3gK91L5asNOu1jNA0mdzDgSgndc8
其中,-e vp表示扫描插件漏洞,然后发现存在本地文件包含漏洞。
根据参考链接,来到相关网站:https://www.exploit-db.com/exploits/46537
确认存在漏洞
通过查看页面源代码的方式(主要是方便阅读),得知靶机存在3个用户:root、rohit、flag。注意到flag用户的密码占位符的位置中有$符号,说明是经过md5加密的。
使用join破解flag用户的密码,得到密码:topsecret
注:join一旦破解出了密码,再次破解的话就不再显示破解结果,需要通过--show查看破解结果
爆破 john --wordlist=/usr/share/wordlists/rockyou.txt --format=md5crypt-long pass.txt 显示结果,下面两个命令效果一样 john --show --format=md5crypt-long pass.txt john --show pass.txtSSH登录
登录之后,呵呵哒,自己权限低就算了,还不让去邻居家串门。只能找找看有没有什么敏感文件了。
发现一个md5加密的文件,再来一次密码破解
经过了漫长的等待后,破解出来:!%hack41
在前文测试POC的时候已经得知:靶机存在3个用户:root、rohit、flag,排除法得知这个密码是rohit用户的。
准备suod提权,竟然发现rohit用户可以使用root用户的所有命令,还提权个锤子,直接拿Flag2
os-hackNos-2 Walkthrough
