本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com
大余安全
一个每日分享渗透小技巧的公众号
大家好,这里是 大余安全 的第 53 篇文章,本公众号会每日分享攻防渗透技术给大家。
靶机地址:https://www.vulnhub.com/entry/hacknos-os-hacknos,401/
靶机难度:容易 + 中级(CTF)
靶机发布日期:2019 年 11 月 29 日
靶机描述:
Difficulty : Easy to Intermediate
Flag : 2 Flag first user And second root
Learning : Web Application | Enumeration | Password Cracking
Changelog - 2019-12-13 ~ v1.1 - 2019-11-29 ~ v1.0
请注意:对于所有这些计算机,我已经使用 VMware 运行下载的计算机。我将使用 Kali Linux 作为解决该 CTF 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
我们在 VM 中需要确定攻击目标的 IP 地址,需要使用 nmap 获取目标 IP 地址:
我们已经找到了此次 CTF 目标计算机 IP 地址:192.168.56.144
nmap 发现开放了 22、80 端口... 这里和 1 一样的...
前面做了 1 之后... 直接爆破把...
发现 tsweb 目录... 往下看可以发现,这是 wordpress CMS 架构的,可以使用 wpscan...
直接上 wpscan 先...
熟悉的 gracemedia-media-player 插件... 谷歌查找下...
可以利用 CVE-2019-9618 漏洞渗透...
[链接](https://www.exploit-db.com/exploits/46537)
http://192.168.56.144/tsweb/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../etc/passwd
发现:flag:$1$flag$vqjCxzjtRc7PofLYS2lWf/
这是哈希值...john 爆破下...
john --wordlist=/usr/share/wordlists/rockyou.txt dayu
john --show dayu
获得账号和密码:flag,topsecret
二、提权
方法 1
成功登录...
注意这里是受限制的,提到 TTY 即可...
没权限使用此命令... 那就只能 root 查看了,跳过...
这里找了半天,才发现 backups 下有个 pass... 应该是密码... 发现了 MD5 值...
$1$rohit$01Dl0NQKtgfeL08fGrggi0
john爆破密码:!%hack41
拿到第一个 flag...
ALL... 提权就是...
前面 id 可以查看到可执行 sudo... 直接 sudo su 提权到 root 用户,并查看第二个 flag...
方法 2
前面通过查看 pass 文件直接获得密码.... 然后 sudo 提权...
这边我利用数据看看...GO
前面获得 flag 方法一样... 继续提 root 权限...
一路跟着我学习过来的都知道,查看数据库需要找到 wp-config.php 文件... 里面包含了数据库账号密码... 找它!!
一般都在 html 目录下面查找... 找到了...
发现用户名密码:wpuser、hackNos-2.com
mysql -h localhost -uwpuser -phackNos-2.com
$P$B.O0cLMNmn7EoX.JMHPnNIPuBYw6S2/
解密不出,跳过跳过... 等了半天半天,最后也没解密出来...
update wp_users set user_pass=md5("dayu") where user_login='user';
这里我直接使用命令,虽然破解不了,我将 user 用户密码修改为 dayu
成功通过用户密码:
user/dayu
登陆进入...
进来后,很熟悉的界面了,这里直接利用即可...
将 dayushell 复制进来... 利用 readme.txt 即可...
然后利用之前的 LFI 漏洞包含该 txt 文件即可... 记得本地开启 nc...
192.168.56.144/tsweb/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../var/www/html/tsweb/wp-content/themes/twentytwenty/readme.txt
看来只能获得 www-data 权限... 这边继续往下走就能获得 root... 不过这是一个思路,可能还有别的方法... 如果有请告诉我,谢啦!!
凌晨文章...
由于我们已经成功得到 root 权限查看 flag,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~
欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!
大余安全
一个全栈渗透小技巧的公众号