01 环境搭建
- 靶机环境下载:https://www.vulnhub.com/entry/hacknos-os-hax,389/
- 题目信息如下,难度中等
Back To The Top
Difficulty : Intermediate
Flag : boot-root
Learing : exploit | web application Security | Privilege Escalation
Contact .. https://www.linkedin.com/in/rahulgehlaut/
This works better in VirtualBox than VMware
02 信息收集
将靶机环境恢复到virtualbox
之后,开始第一步信息收集工作。
发现靶机
查看攻击机Kali的ip为192.168.56.1
(环境恢复时采用Host-Only Adapter)
使用nmap
扫描网段内的ip地址
nmap -sP 192.168.56.0/24
扫描发现的192.168.56.106
就是目标靶机的ip地址。
端口扫描
使用nmap
对目标靶机开放的端口进行扫描
nmap -Pn -n -sV 192.168.56.106
发现目标靶机仅开放了两个tcp端口,22和80。
遍历目录
访问80端口,发现没有有价值的信息。
使用dirb
命令,对靶机的目录进行遍历。
dirb http://192.168.56.106
发现靶机中还有如下目录,还有wordpress
服务。
http://192.168.56.106/css/
http://192.168.56.106/html/ http://192.168.56.106/img/
http://192.168.56.106/js/
http://192.168.56.106/wordpress/
03 获取账户
wordpress
Kali中的WPScan
是一个对WordPress
的黑盒子扫描器,可以扫描出wordpress的版本,主题,插件,后台用户以及爆破后台用户密码等。
用WPScan扫描靶机中的用户,发现靶机中没有任何用户。
wpscan --url http://192.168.56.103/tsweb --enumerate u
用WPScan扫描靶机中是否存在有漏洞的插件,发现也不存在。
wpscan --url http://192.168.56.103/tsweb --enumerate vp
用WPScan扫描靶机中所有的插件,也没有任何发现插件。
wpscan --url http://192.168.56.103/tsweb --enumerate ap
访问http://192.168.56.106/wordpress/
,发现显示存在问题。点击链接后跳转到localhost
,并且出现404错误。修改/etc/hosts
中的localhost
修改之后能正常访问页面,但是也未发现有用信息。
其他目录
对wordpress
扫描未发现任何有用信息,转而检查其他目录,在img
目录下发现有个flaghost.png
下载flaghost.png
后,检查图片信息,发现存在一个疑似密码的字符passw@45
尝试用默认账户admin
密码passw@45
登录后台http://localhost/wordpress/wp-login.php
。但是提示用户名密码错误。
尝试多次后,发现passw@45
是一个目录名-_-||。访问http://192.168.56.106/passw@45/
发现里面有个flag2.txt
打开flag2.txt
发现是段brainfuck
语言
i+++++ +++++ [->++ +++++ +++<] >++++ +++++ +++++ +++++ .<+++ +[->- ---<]
>--.- --.<+ +++++ [->-- ----< ]>--- -.<++ +[->+ ++<]> +++++ .<+++ ++[->
+++++ <]>.+ +.+++ +++++ .---- --.<+ ++[-> +++<] >++++ .<+++ ++++[ ->---
----< ]>-.< +++[- >---< ]>--- .+.-- --.++ +.<
在http://ctf.ssleye.com/brain.html中在线解密,得到结果web:Hacker@4514
。
04 提权
尝试用web:Hacker@4514
账户登录SSH,可以登录成功,并在home目录下存在flag3.txt
搜索web
用户的sudo
配置。发现可以执行awk
命令。而awk
可以直接执行shell命令,可以用来提权。
sudo -l
通过awk
执行shell命令提权,获得最后的flag
sudo awk ‘{system("/bin/sh")}'
ps
在百度后发现,web:Hacker@4514
账户不仅能登录ssh,还能登录wordpress
的后台。
在后台可以更改文件,从而上传webshell,获得shell权限。