实验主机:Os-hackerNos靶机一台/Kali linux攻击机一台

实验网络:桥接网络

实验目标:获取靶机的Root权限

难易程度:简单

前期工作:

1:下载Virtualbox虚拟化软件(也可以使用Vmware导入靶机的OVA文件)
  下载地址:https://www.virtualbox.org/wiki/Downloads
  2:下载目标靶机并导入Virtualbox
  下载地址:https://www.vulnhub.com/entry/hacknos-os-hacknos,401/
  将Os-hackNos-1.ova下载下来之后打开Virtualbox按下快捷键Ctrl+i将其导入

Os-HackNos-Report-LMLPHP

导入之后需要修改几个地方:

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

3:安装并配置好自己的Kali linux主机,这里我用的版本是最新版201904

Target:信息收集

思路:既然是要对目标主机进行入侵,就要找出目标主机的真实性IP地址的所开放的端口,
  因为服务器或者个人主机对外提供服务都是通过端口来进行数据之间的通行;
  注意:一个服务可以占用多个端口,但是一个端口只能被一个服务占用
  首先确定我们是谁?

Os-HackNos-Report-LMLPHP

扫描我们的目标在哪里???

给几个有意思的截图吧…猜下这些都是什么设备,嘻嘻

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

看到这,我只想说:放下苹果手机我们还能做朋友

想必,已经猜出来那个是我们的目标了吧!!!

targetIP:172.16.1.16

那么接下来我们需要确定目标主机开起了什么服务???

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

看到这里是不是想杀人?别慌作为一个专业黑客要冷静
  22端口用于SSH服务,前身是RSH,之后因为传输的数据被加密所以改成了SSH,
  针对于这个端口的最好办法就是暴力破解,但是太费时间不是首要的攻击方式,后面拿不下的时候可以先用暴力破解
  80端口用于HTTP服务,还有一个安全的HTTPS,接下来我们就要转到WEB渗透才是目前最好的选择
  WEB信息收集:
  首先要去目标网站浏览一番,发现这好像是个新建立的站点,但也不确定,毕竟要知道椰树的能力是强大的,但这里我们用dirb这款kali中的工具

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

这个才是我们今天的主角,整个服务器的安全短板就在于此

我们先从github找下关于这个drupal cms的POC和EXP

Os-HackNos-Report-LMLPHP

下载地址:https://github.com/dreadlocked/Drupalgeddon2

接下来我们就需要下载这个脚本并运行拿到网站的WEBshell

Target:获取目标网站的WEBShell

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

此时,我们已经拿到一个shell,然而我们的权限太小,需要提权

Target:权限维持

拿到shell第一步:权限维持,我们需要kali中自带网站管理工具来做

Os-HackNos-Report-LMLPHP

我们现在本地做个测试,看看能否连接上

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

这样我们的权限维持就已经做好了,接下来才是重头戏

Target:提权

Os-HackNos-Report-LMLPHP

Base64加密—>解密:

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

解密网站:

https://base64.supfree.net/   //base64加密解密网站

https://www.dcode.fr/brainfuck-language  //脑残密码学加密解密网站

如果不出意外的话就是系统用户账号密码了

Os-HackNos-Report-LMLPHP

没办法在shell中,看来必须在msfshell终端中才能切换用户身份了

Os-HackNos-Report-LMLPHP

Root用户的家目录没法进去,但是存储用户密码文件却能被访问

Os-HackNos-Report-LMLPHP

这里我们不能直接通过webshell修改,只能想办法修改掉passwd文件,
  我们先制作一个具有root权限的用户,即为uid和gid都为0,
  并且按照passwd格式添加到文件中,使其保存,我们可以通过小马的file_download功能下载passwd文件,
  并在本地修改回传到靶机上,(o゜▽゜)o☆[BINGO!]

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

此刻我们只需要一个与其交互的shell即可大功告成!!!

Os-HackNos-Report-LMLPHP

糟糕,忘了设置payload,,,那就随机应变吧

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

Target:权限维持

以为到这里就完事了,想多了…略略略

接下来还是权限维持,只不过我们要维持Root用户的权限

首先我们分别在本地主机和目标主机上执行ssh-keygen命令

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

在msfshell中执行:

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

接下来最激动人心的时刻到啦:

Os-HackNos-Report-LMLPHP

Os-HackNos-Report-LMLPHP

完结撒花,✿✿ヽ(°▽°)ノ✿

Os-HackNos-Report-LMLPHP

作者:黑壳攻击小组(xhong)

欢迎留言评论,如有不足恳请指正!

05-28 21:51