HackinOS是一个渗透靶机，模拟真实的渗透环境，方便我们练习渗透方法，靶机下载地址...
攻击者：kali
受害者：HackInOS

因为我的靶机在虚拟机中网络用的NAT模式，所以靶机IP肯定和kali在同一个网络下，先利用nmap来扫描一波：


很明显，我们找到了目标机器的ip：192.168.88.133，并且发现开启了22和8000端口，在8000端口下面是一个http服务，而且有一个upload.php文件，猜测这里有一个上传文件漏洞....

访问这个地址，确实发现有文件上传的功能：

然后我们右键查看源码，发现了一个hint：

给了我们一个guthub的连接，我们访问发现：

给了我们上传文件的源码，通过审查我们发现，只允许上传PNG或GIF格式的图片，校验方式是校验文件内容（实际校验的是文件开头几个标志文件类型的字节，PNG格式为0x890x500x4E0x470x0D0x0A0x1A0x0A，GIF格式为GIF98)，没有校验文件后缀;然后通过校验的文件会保存在uploads目录中，但是文件名是一个随机生成的md5值，而后缀保持上传文件的后缀不变....
所以我们可以先做一个图片马，主要是反弹shell的马,我们利用Metasploit来生成：

把生成的payload：

保存在hack.php中，然后随便找一个png图片，将hack.php添加到图片中去,然后将png图片后缀改为php：

然后我们可以写一个python脚本来帮助我们找到并访问我们上传的木马：

然后我们设置好我们的msfconsole，等待反弹shell的连接：

然后我们就可以去网站上去上传木马，然后运行python脚本，然后看到我们已经获得了一个shell：

但是我们的权限很低.....

我们在Web目录中找到Wordpress的配置文件wp-config.php，看到了数据库连接信息：

然后我们上传一个Linux提权信息收集脚本linuxprivchecker.py：

然后运行这个脚本：

仔细阅读脚本输出的内容，我们发现到tail被设置了SUID：

直接用tail读取shadow文件：

这里得到了root用户密码的hash值，我们先把hash值保存到文件root.hash中，然后利用hashcat破解它：

得到密码：john

于是我们su root，但是发现：

所以我们用python伪造一个终端，然后来su root:

然后拿到了flag:

很明显这不是真正的flag，我们刚才还得到了一个数据库密码，所以我们登录看看：

我们这里发现一个用户名和密码，之前扫描端口是发现一个22端口，所以这个可能是ssh的登录信息，这个密码md5解密出来后是123456；
我们登录试试：

登录成功，但是我们发现权限还是低，所以这里又要提权....

我们看这个用户名特别像在docker里面，查看一下：

确实是，因为docker权限就能读到/root中的文件了，所以可以利用docker run的-v参数，将/root挂载到容器中：

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课