OSCP - vulnhub Prime_Series_Level-1 靶机测试

最新推荐文章于 2024-08-13 18:29:56 发布
最新推荐文章于 2024-08-13 18:29:56 发布
阅读量252 收藏 2
点赞数 6
分类专栏: oscp 文章标签: 网络安全 python 系统安全 web安全 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55751267/article/details/134970140
版权

遇到个有意思的靶机,这台有两种提权方法,就记录一下

靶机地址:https://download.vulnhub.com/prime/Prime_Series_Level-1.rar

Prime: 1 ~ VulnHub

打点

还是先netdiscover

 nmap扫端口

爆破目录

发现了wordpress 并且 index.php 和 image.php 的长度不一样

打开网页发现 image.php 虽然和 index.php 显示的页面没有差别 但是细节上有点 可能就是在提示这两个页面有不同的作用 接收不同的参数

 还是在 /secret.txt 发现了一些信息 让我们模糊测试一下 并且还推荐了工具

 根据他给的字典参考 进行测试 用burp什么都一样 burp字典太大会卡

 找到了个长度不一样的 确实有东西

 打开看看吧

根据之前的提示将 location.txt 带入

http://192.168.2.193/index.php?file=location.txt

 得到如下的提示 

之前爆破出来的有两个php文件 一个是 index.php 一个是image.php 还有一堆wordpress里面的php

很明显他说的php文件为 image.php 

带入参数试试

http://192.168.2.193/image.php?secrettier360=

response : finaly you got the right parameter

带点值发现是任意文件读取 http://192.168.2.193/image.php?secrettier360=/etc/passwd

在我找有效用户的时候发现了一些问题 他在 /etc/passwd 里出现了一些不一样的东西 为了看得清楚我整理了一下

password.txt file in my directory:/home/saket

按照他的提示读取一下 找到了一个密码

follow_the_ippsec

在 passwd 里找到了两个有家目录的用户名

victor

saket

读取一下他们的家目录的 .bash_history 文件,发现读取不了

于是我开始用ssh尝试使用上面的密码登录这两个账号,登不上去

这时候其实还有个wordpress 来测试下 wordpress

wordpress 这里还是 wpscan 扫一下用户名

只找到 victor 用户,尝试在 wp-admin 使用上面的密码登录

登陆成功了 查看权限为 administrator

先找个上传点吧 发现过不去

上传主题吧,貌似也传不了

 再尝试一下修改主题

没有写入权限,挨个看一遍这些 php 文件

 这个可以写入 修改完访问弹个 shell 出来吧

监听:nc -lvnp 9999

访问:

http://192.168.2.193/wordpress/wp-content/themes/twentynineteen/secret.php

 提权

成功拿到shell

先把基本的流程走一遍

sudo -l

sudo -s 没有密码执行不成功

uname -r

cat /etc/*-release

find / -perm -u=s -type f 2>/dev/null

 这里写出上面命令我收集到的有用信息

User www-data may run the following commands on ubuntu:
    (root) NOPASSWD: /home/saket/enc

ubuntu 16.04

4.10.0-28-generic

第一种提权:

这个挺符合的 查看用法就是 gcc 编译运行即可

python 起个 http 服务

 

第二种提权:

User www-data may run the following commands on ubuntu:
    (root) NOPASSWD: /home/saket/enc

 

 试了很多 密码一直错误 就没管

后面用第一种提权拿下之后 看到了/root/enc.cpp 也就是源码,里面的密码为 backup_password 并且复制了/root 下面的两个文件到该用户目录

sudo ./enc        输入密码 复制的两个文件如下

按照要求将 ippsec md5 得到366a74cb3c959de17d61db30591c39d1


试了一遍aes解了出来

 通过对话得知 这是由 Victor 留给saket 的话,告诉了我们saket的密码为 tribute_to_ippsec

ssh直接连上去  因为 data权限 不能su切换用户

进来先 sudo -l 一下,获取到有意思的东西

(root) NOPASSWD: /home/victor/undefeated_victor

运行一下提示如下 很明显他要利用 /tmp/challenge 因为报错not found 所以我们可以去建一个文件看看是怎么回事

 

写入成功后
chmod 777 challenge  给予权限
sudo /home/victor/undefeated_victor   再次调用

那看来就是执行 challenge 里面的命令了 重新写入 su root

提权成功

后记

密码获取方法是不对的 我看了其他人写的wp 是要查找 backup 文件

find / -name '*backup*' 2>/dev/null

 搜索包含 backup 名称的文件然后就可以搜索到

密码就在里面

 这一点确实没想过

enc.cpp 源码,很简单的写法,普通用户可以获取到enc这个应用程序,逆向出来源码应该也可以找到密码吧,我不会逆向就没搞

undefeated_victor bash的代码

 就是一个命令执行 给了个s和root的权限

MentalityXt
关注
  • 6
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vulnhub靶场Prime_Series_Level-1渗透
m0_65712192的博客
02-12 1680
Vulnhub靶场Prime_Series_Level-1渗透
Vulnhub | 实战靶场渗透测试 - PRIME: 1
尼泊罗河伯的博客
06-01 1700
这台机器是为那些试图准备 OSCP 或 OSCP 考试的人设计的。这是素数系列的第一级。在每个阶段都会提供一些帮助。机器很长,因为 OSCP 和黑客的机器是设计的。因此,您有一个获取根标志和用户标志的目标。如果卡在某个点上,则会在枚举级别上提供一些帮助。
打靶:vulnhub中的Prime1
qq_73865998的博客
04-18 1520
复现视频:【「红队笔记」靶机精讲:Prime1 - 信息收集和分析能力的试炼,试试吧,按图索骥!
Vulnhub Prime1
Pai_Space
05-21 424
明确:《中华人民共和国网络安全法 》 Description This machine is designed for those one who is trying to prepare for OSCP or OSCP-Exam. This is first level of prime series. Some help at every stage is given. Machine is lengthy as OSCP and Hackthebox's machines are desig
1-OSCP自学笔记-October靶机练习1
08-04
【OSCP自学笔记-October靶机练习1】这篇教程主要介绍了如何通过渗透测试技术攻破一个名为"October"的靶机靶机来自于Vulnhub平台,作者选择了10台典型的靶机作为OSCP(Offensive Security Certified Professional)...
OSCP-Human-Guide:我自己的OSCP指南
05-12
OSCP-人类指南 编辑我目前正在将所有OSCP内容和其他内容移动到“ ”中。 该存储库将没有更多更新。 带来不便敬请谅解。 该页面是一些技巧的真实记录,真正的指南是 我自己的OSCP指南,包括一些礼物,我自己制作的和...
java红酒网站源码-OSCP-Survival:OSCP-生存
06-05
java网站源码OSCP-生存 这是一个克隆 这也可以查看 OSCP-生存指南 注意:本文档将目标 ip 称为导出变量 $ip。 要在命令行上设置此值,请使用以下语法: 出口ip=192.168.1.100 目录 卡利Linux 将目标 IP 地址设置为$...
java红酒网站源码-oscp-notes:oscp-notes
06-05
java网站源码OSCP - PWK(使用 Kali 进行渗透测试)注意事项 完成整个 OSCP 课程的完整 OSCP 笔记 目录 卡利Linux 将目标 IP 地址设置为$ip系统变量export ip=192.168.1.100 查找文件的位置locate sbd.exe 在$PATH...
java红酒网站源码-OSCP-Notes:OSCP-笔记
06-05
java网站源码OSCP-笔记 卡利Linux 将目标 IP 地址设置为$ip系统变量export ip=192.168.1.100 查找文件的位置locate sbd.exe 在$PATH环境变量中搜索目录which sbd 查找名称中包含特定字符串的文件的搜索: find / -...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8385
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
大模型微调工具-torchtune
weixin_40777649的博客
08-08 1058
1.定义2.安装3. 案例。
python学习】深入解析 `jq` 库:JSON 处理的利器
最新发布
m0_54007171的博客
08-13 269
jq库是 Python 对流行的命令行工具jq的封装。它允许你直接在 Python 中使用jq的查询语言来处理 JSON 数据。借助jq,你可以轻松地对 JSON 数据进行过滤、选择、转换、聚合等操作,极大地简化了代码复杂度。
Python 算法交易实验80 QTV200日常推进-目标估算
yukai08008的博客
08-10 474
业务目标在先,月利3%是第一个目标。虽然日常有在常规推进,但目标是什么?现在做的是什么?与目标的关联是什么?业务上讲,如果月利能够达到3%(几何平均),上下波动不超过1%,就算达标了(2%~4%)。考虑到金融领域有不可测风险,所以资金还会分摊到3个月。例如,假如总投资资金是30万,那么每个月的最大投资金额是10万。这样即使遇到大跳水,问题也不大。目标达到的话,10万本金每月的盈利是3000, 按复利计,24个月就会double,我觉得已经足够理想。假设投资90万,则可以按30万计算复利效果。
NVIDIA-CUDA
qq_41081716的博客
08-08 463
CUDA 是一种强大的并行计算平台,它极大地扩展了 GPU 的用途,使其不仅仅局限于图形处理。通过利用 CUDA,开发人员可以编写高效、高性能的并行应用程序,这些应用程序可以用于各种计算密集型任务。如果您正在从事高性能计算或需要加速计算任务的工作,CUDA 是一个非常有用的工具。
Falsk测试与部署(第九阶段)
蜡笔小新星的博客
08-09 660
在本章节中,我们学习了如何使用unittest和pytest进行单元和集成测试,以及如何配置Flask应用,使用WSGI服务器部署,容器化Flask应用并将其部署到各种云服务平台。通过这些步骤,你可以确保你的Flask应用在生产环境中的稳定性和可靠性。希望这些知识能够帮助你在实际项目中更好地实现测试和部署。
python识别车辆标志
weixin_45570158的博客
08-09 447
要使用Python来识别车辆标志,你通常会用到计算机视觉库,如OpenCV,结合深度学习框架如TensorFlow或PyTorch。这里我将提供一个基于OpenCV和TensorFlow(使用预训练模型,如MobileNetV2)的基本示例。
Python写一段代码读取word文件内容】
qq_36253366的博客
08-09 258
类,然后加载了一个Word文档。接着,它遍历文档中的每一个段落,并打印出每个段落的文本内容。此外,它还展示了如何遍历文档中的所有表格,并打印出每个表格中的单元格内容。库主要关注于文档中文本和表格内容的提取和修改,对于文档中的图片、复杂格式(如页眉页脚)等内容的处理可能需要其他方法或库。这个库允许你创建、修改以及提取Microsoft Word文件(.docx)的内容。在Python中读取Word文件(.docx格式)的内容,你通常需要借助第三方库,如。替换为你的Word文件的实际路径。
pyinstaller 关于打包路径的总结
m0_73527922的博客
08-12 134
意思是bai.txt文件必须放在当前目录下。其实不管是运行py文件还是exe文件,运行谁就将该文件放在谁的当前目录下即可。exe文件的相对路径:相对于exe文件所在目录的相对路径。py文件的相对路径:相对于py文件所在目录的相对路径。如图:将bai.txt文件拷贝至exe文件所在目录。程序中下面代码是相对路径。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值