文章详细描述了一次对Olympus靶场的渗透测试过程,包括端口扫描、Web枚举、目录扫描、SQL注入利用,尝试RCE,横向移动以及权限提升的步骤。在过程中,作者发现了CMS系统中的漏洞,利用SQL注入获取账户信息,通过文件上传尝试getshell,最终通过权限组管理获得root权限。
Olympus
端口扫描
循例 nmap
Web枚举
进入80端口,发现跳转到了olympus.thm
将其添加进hosts,继续访问olympus.thm
目录扫描
gobuster扫一波
查看/~webmaster,是一个cms
通过searchsploit发现存在一个关于文件上传导致的rce, 以及几个sqli
但当我想尝试rce时,我发现并没有注册用户的页面,即使主页告诉了我们有个账户存在弱口令,但似乎也无法登录,并且爆破不在本房间范围内
所以我把目光转向了sqli,其中,cat_id页面存在,故可能受漏洞影响
比较简单,直接上sqlmap提高效率
由于在cms主页当中,给了一条信息就是有两个账户中的其中一个可能存在弱口令,我就明白,root账户可以直接忽视了,rce也不需要有管理员权限,所以任何有效账户都可以。直接爆另外两个账户
爆出了prometheus的密码,思路没有问题
按照rce的步骤,进到profile上传反向shell文件
然鹅这里上传过去,/img无权访问,getshell失败
但在刚刚sqli中的结果里有一个子域,将其添加进hosts
使用刚刚的凭据成功登录
扫一下
虽然就像它所说的那样,名字是随机的
但从前面的sql注入当中还是能发现一个叫chats的表
在这个表中能找到上传后的随机文件名
访问它
getshell
flag2
横向移动
zeus.txt
看到这个,联想到suid
有一个从未见过的cputils
执行它,它会以zeus的权限进行复制文件操作
在zeus家目录有一个.ssh文件夹,我们可以尝试利用它
首先在攻击机使用ssh-keygen生成ssh key
然后将公钥传到靶机
然后利用刚刚的cputils覆盖zeus家目录下的authorized_keys
好吧,登录失败,这样貌似行不通,可能出题人早已想到这个
再试试把zeus的私钥复制出来
复制到攻击机,ssh2john+john爆破
成功登入
权限提升
查找zeus组所有的文件
查看这个php文件,看起来是一个后门
输入密码之后
getroot
- 再一次,这并不是因为linPEAS没有标记任何明显的东西,没有什么是脆弱的。
- 我们已经习惯了糟糕的用户权限管理,但是,您也可以通过您的组分配权限!
- 当你发现一个奇怪的不寻常的文件时,即使看起来不多,也要调查!可能是某种东西!
但flag只给了一半,然后shell就断开了
使用grep搜索flag
root flag和最后一个flag均能被找到
835
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
