-
-
[原创]渗透入门——HackInOS
-
发表于:
2019-7-14 13:15
12078
-
HackinOS是一个渗透靶机,模拟真实的渗透环境,方便我们练习渗透方法,靶机下载地址...
攻击者:kali
受害者:HackInOS
因为我的靶机在虚拟机中网络用的NAT模式,所以靶机IP肯定和kali在同一个网络下,先利用nmap来扫描一波:
很明显,我们找到了目标机器的ip:192.168.88.133,并且发现开启了22和8000端口,在8000端口下面是一个http服务,而且有一个upload.php文件,猜测这里有一个上传文件漏洞....
访问这个地址,确实发现有文件上传的功能:
然后我们右键查看源码,发现了一个hint:
给了我们一个guthub的连接,我们访问发现:
给了我们上传文件的源码,通过审查我们发现,只允许上传PNG或GIF格式的图片,校验方式是校验文件内容(实际校验的是文件开头几个标志文件类型的字节,PNG格式为0x890x500x4E0x470x0D0x0A0x1A0x0A,GIF格式为GIF98),没有校验文件后缀;然后通过校验的文件会保存在uploads目录中,但是文件名是一个随机生成的md5值,而后缀保持上传文件的后缀不变....
所以我们可以先做一个图片马,主要是反弹shell的马,我们利用Metasploit来生成:
把生成的payload:
保存在hack.php中,然后随便找一个png图片,将hack.php添加到图片中去,然后将png图片后缀改为php:
然后我们可以写一个python脚本来帮助我们找到并访问我们上传的木马:
然后我们设置好我们的msfconsole,等待反弹shell的连接:
然后我们就可以去网站上去上传木马,然后运行python脚本,然后看到我们已经获得了一个shell:
但是我们的权限很低.....
我们在Web目录中找到Wordpress的配置文件wp-config.php,看到了数据库连接信息:
然后我们上传一个Linux提权信息收集脚本linuxprivchecker.py:
然后运行这个脚本:
仔细阅读脚本输出的内容,我们发现到tail被设置了SUID:
直接用tail读取shadow文件:
这里得到了root用户密码的hash值,我们先把hash值保存到文件root.hash中,然后利用hashcat破解它:
得到密码:john
于是我们su root,但是发现:
所以我们用python伪造一个终端,然后来su root:
然后拿到了flag:
很明显这不是真正的flag,我们刚才还得到了一个数据库密码,所以我们登录看看:
我们这里发现一个用户名和密码,之前扫描端口是发现一个22端口,所以这个可能是ssh的登录信息,这个密码md5解密出来后是123456;
我们登录试试:
登录成功,但是我们发现权限还是低,所以这里又要提权....
我们看这个用户名特别像在docker里面,查看一下:
确实是,因为docker权限就能读到/root中的文件了,所以可以利用docker run的-v参数,将/root挂载到容器中:
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!