一，部署方法

1. 在官网上下载靶机ova环境
2. 这里使用VM virtualBox搭建靶机环境
3. 攻击机使用VMware上搭建的kali
4. 靶机和攻击机之间使用物理机上的网桥进行链接。只要将靶机和攻击机放置于同一网段中即可。

二，靶机地址和描述

1. 下载地址

https://download.vulnhub.com/hacknos/Os-hackNos-2.1.ova

2. 靶机描述

三，测试

1. 信息收集

arp-scan -l

靶机地址是131，攻击机地址是156.

这时知道靶机地址了，使用nmap进行深度扫描

这时扫描端口，发现靶机开放了22端口，SSH服务，80端口，web服务。

那访问一下web。

发现是apache2.4.29版本的页面，毫无收获，下一步进行目录爆破，看一下是否有我们不知道的页面。

果然找到一个页面，访问查看一下

发现CMS是5.3版本的wordpress

使用kali中自带的wpscan对wordress进行扫描

wpscan --url http://192.168.237.131/tsweb

wpscan --url http://192.168.237.131/tsweb --enumerate u

通过这两次的扫描发现这其中的插件和用户有一些可以利用的点在里面。

首先搜索插件可利用的点，发现这个插件存在文件读取漏洞的，那这时对靶机的密码进行查看。

http://your-site/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../etc/passwd

访问文件读取漏洞点

http://192.168.237.131/tsweb/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../etc/passwd

从这中发现两个用户，一个rohit用户shell权限是/bin/bash，一个用户是flag，shell的权限是rbash，发现flag用户的密码是加密的，复制下来进行解密。

这里使用john进行解密

john --wordlist=/usr/share/wordlists/rockyou.txt --format=md5crypt-long hackNos2.1

查看一下破解后的

这时成功得到一个用户账号和密码：flag\topsecret

想到信息收集阶段，靶机开放了SSH服务，因此尝试进行SSH链接。

2. SSH服务

使用flag/topsecret用户进行SSH登录

成功SSH登录，这里使用命令切换到~目录下，结果发现被限制

进行提权

尝试使用python进行提权

没有权限，那就是root权限下的了，这条路又断了，进行对其他目录的信息收集，

这时尝试进行搜索有无备份文件在。

find / -name backups

在/var目录下存在备份文件，进入查看

存在敏感词pass，查看一下

cat passbkp发现没法查看，这时想起flag的shell权限是rbash，进入sh进行查看

复制出来，接着使用john进行解密

破解出来是!%hack41

那这时就知道了另一个用户：rohit/!%hack41

尝试再次进行SSH登录

这时是最低权限的，尝试提权。

3. 提权

这时查看用户是否就在sudo组中，结果出乎意料，直接进入root用户了。

成功进行渗透。任务完成

四．总结

1. 信息收集
2. 插件的漏洞（gracemedia-media-player的命令执行漏洞）
3. John对Md5的解密