Os-hackNos-1:

靶机下载 https://www.vulnhub.com/entry/hacknos-os-hacknos,401

环境如下：

KALI: 192.168.59.141/24
靶机：192.168.59.146/24

目标获取2个flag

搭建环境：

PS:（Vulnhub靶机检测不到IP
修改完ip 重启就ok了）
环境搭建成功！

信息收集：

扫描目录

 ./gobuster dir -u http://192.168.59.146/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt 

1
2

发现服务：
用kali中的whatweb来探测一下Drupal的版本，看是否有相应的漏洞，发现是Drupal7
在GitHub上面查找一下是否有该框架的漏洞以及exp，或者利用msf搜索，我这利用msf来搜索，然后通过网上的搜索Drupal框架的CVE-2018-7600可以利用，这里选择1

设置路径和目标，并且运行（run）

攻击成功后，没有交互式shell，需要提升为交互式shell
python3 -c “import pty;pty.spawn(’/bin/bash’)”，这里就得到了网站权限

返回上级目录，查询到base64的密文

看不懂，直接百度
解密：james:Hacker@4514

然后尝试利用su账户密码登录，发现不能登录

然后尝试ssh登录，还是不能登录

我们可以尝试一下suid提权（　SUID (Set owner User ID up on execution) 是给予文件的一个特殊类型的文件权限。在 Linux/Unix中，当一个程序运行的时候， 程序将从登录用户处继承权限。SUID被定义为给予一个用户临时的（程序/文件）所有者的权限来运行一个程序/文件。用户在执行程序/文件/命令的时候，将获取文件所有者的权限以及所有者的UID和GID。），然后发现有一个wget，这个可以用来下载文件

然后又一个思路是把/etc/passwd的文件下载下来，然后添加一个具有root权限的用户，在传回去覆盖它。这里我们创建一个用户

openssl passwd -1 -salt myqf 123456
$1$myqf$wD2.LTxOJb7fsYoC1agE6/
1
2

└─# python2 -m SimpleHTTPServer 80

1
2

copy /etc/passwd 替换root的密码和用户名

myqf:$1$myqf$wD2.LTxOJb7fsYoC1agE6:0:0:root:/root:/bin/bash
1

成功写入：
成功提权：

查看root.txt

查看一下ssh，发现ssh防护做的很好，只需要把目录给增强一下即可。

参考：https://blog.csdn.net/Long_gone/article/details/104073135