靶机练习: Hacker_Kid-v1.0.1

2022-11-21

靶机: Hacker_Kid-v1.0.1

准备工作

靶机地址: https://download.vulnhub.com/hackerkid/Hacker_Kid-v1.0.1.ova
- MD5 校验：70f5e0eaa87f9c23a9f9633344afe6f1
  - cmd 进行校验: certutil -hashfile 文件路径 MD5
  - powershell 进行校验: Get-FileHash 文件路径 -Algorithm MD5 | Format-List
- 使用 VirtualBox
- 网络 Host-Only
配置网络环境：https://www.cnblogs.com/shadow-/p/16815020.html
- kali: NAT + [ Bridged/Host-Only ]

靶机攻略

发现目标

使用常规工具：

arp-scan
nmap
netdiscover
fping

初步扫描 sudo arp-scan -l -I eth1 发现目标 192.168.56.118

┌──(kali㉿kali)-[~]
└─$ sudo arp-scan -l -I eth1  
[sudo] kali 的密码：
Interface: eth1, type: EN10MB, MAC: 08:00:27:5f:50:d7, IPv4: 192.168.56.116
Starting arp-scan 1.9.8 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.56.1    0a:00:27:00:00:0d       (Unknown: locally administered)
192.168.56.100  08:00:27:5c:43:96       PCS Systemtechnik GmbH
192.168.56.118  08:00:27:04:87:5a       PCS Systemtechnik GmbH

3 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.9.8: 256 hosts scanned in 2.154 seconds (118.85 hosts/sec). 3 responded

使用 nmap 进行端口扫描 nmap -A -T4 192.168.56.118 发现三个 tcp 端口开发

┌──(kali㉿kali)-[~]
└─$ nmap -A -T4 192.168.56.118
Starting Nmap 7.93 ( https://nmap.org ) at 2022-11-15 11:32 CST
Nmap scan report for 192.168.56.118
Host is up (0.0012s latency).
Not shown: 997 closed tcp ports (conn-refused)
PORT     STATE SERVICE VERSION
53/tcp   open  domain  ISC BIND 9.16.1 (Ubuntu Linux)
| dns-nsid: 
|_  bind.version: 9.16.1-Ubuntu
80/tcp   open  http    Apache httpd 2.4.41 ((Ubuntu))
|_http-title: Notorious Kid : A Hacker 
|_http-server-header: Apache/2.4.41 (Ubuntu)
9999/tcp open  http    Tornado httpd 6.1
|_http-server-header: TornadoServer/6.1
| http-title: Please Log In
|_Requested resource was /login?next=%2F
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 15.50 seconds

53 是 DNS 服务使用 ISC BIND 9.16.1 (Ubuntu Linux)
- 用于 DNS 的服务，对于 BIND 9 的官方资料 https://www.isc.org/bind/
- 相关漏洞 CVE-2020-8625 、CVE-2021-25216
80 是 http 服务使用 Apache httpd 2.4.41 ((Ubuntu))
- 从 http-title: Notorious Kid : A Hacker 看 Notorious Kid : A Hacker 对于初步信息收集应该从此处开始
9999 也是 http 服务，但使用的是 Tornado httpd 6.1
- 并且 http-title 以及 _Requested resource was /login?next=%2F 表明与登录有关

收集信息

我们使用 firefox 先访问 http://192.168.56.118:80/ 发现此页面中是一个提示信息，一个黑客攻陷了此网站，并留了一个后面让我们使用 dig 但我们需要更多信息，进一步使用 Ctrl + U 查看源码

在源码的一段注释信息中说此页面存在一个 GET 参数 page_no
page_no 翻译 page 页面，在开发中 no 一般指数字

我们随意尝试请求一下 http://192.168.56.118/?page_no=0 查看页面与原本的有什么区别

┌──(kali㉿kali)-[~]
└─$ comm -3 /dev/null) /dev/null) 2>/dev/null        1 ⨯