【OSCP】bah

admin
admin
admin
102737
文章
87
评论
2024年4月20日00:32:08评论2 views字数 1916阅读6分23秒阅读模式
【OSCP】bah

OSCP 靶场

【OSCP】bah

靶场介绍

bah

easy

qdpmcms利用、mysql利用、host碰撞、shellinaboxd使用、pspy分析隐藏进程提权

信息收集

主机发现

【OSCP】bah

端口扫描

┌──(root㉿kali)-[~]
└─# nmap -sV -A -p- -T4 192.168.1.130
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-04 00:16 EST
Nmap scan report for 192.168.1.130
Host is up (0.00034s latency).
Not shown: 65533 closed tcp ports (reset)
PORT     STATE SERVICE VERSION
80/tcp   open  http    nginx 1.18.0
|_http-title: qdPM | Login
|_http-server-header: nginx/1.18.0
3306/tcp open  mysql   MySQL 5.5.5-10.5.11-MariaDB-1
| mysql-info: 
|   Protocol: 10
|   Version: 5.5.5-10.5.11-MariaDB-1
|   Thread ID: 32
|   Capabilities flags: 63486
|   Some Capabilities: Support41Auth, Speaks41ProtocolOld, DontAllowDatabaseTableColumn, SupportsTransactions, ConnectWithDatabase, IgnoreSpaceBeforeParenthesis, ODBCClient, IgnoreSigpipes, SupportsLoadDataLocal, Speaks41ProtocolNew, SupportsCompression, FoundRows, InteractiveClient, LongColumnFlag, SupportsMultipleStatments, SupportsAuthPlugins, SupportsMultipleResults
|   Status: Autocommit
|   Salt: oz8E5vs_bPHYdnx2--:y
|_  Auth Plugin Name: mysql_native_password
MAC Address: 08:00:27:B4:84:BC (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.8
Network Distance: 1 hop

TRACEROUTE
HOP RTT     ADDRESS
1   0.34 ms 192.168.1.130

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 11.79 seconds

【OSCP】bah

目录扫描

gobuster dir -w /opt/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -u http://192.168.1.130 -x php,txt,html -e

【OSCP】bah

权限获取

https://www.exploit-db.com/exploits/50176
http://<website>/core/config/databases.yml

【OSCP】bah

【OSCP】bah

【OSCP】bah

本来想重置cms,然后进入后台上传文件的。后面发现重置后并不能进入后台,直接404。

【OSCP】bah

进入数据库,发现hidden 库里面有user表和一个url表。

【OSCP】bah

【OSCP】bah

【OSCP】bah

使用host碰撞工具获取访问域名

【OSCP】bah

或者使用wfuzz 进行碰撞

【OSCP】bah

【OSCP】bah

使用上面的密码获取一个web 版的ssh(shellinabox:一款使用 AJAX 的基于 Web 的终端模拟器)

【OSCP】bah

【OSCP】bah

权限提升

【OSCP】bah

使用之前的账号密码登录到qpmadmin账号(密码qpmpazzw)

【OSCP】bah

上传pspy64查看root 运行进程

【OSCP】bah

【OSCP】bah

这里可以看到一个shellinaboxd的命令。 -s 是用于启动服务。程序中的/devel将由用户root调用目标机器的/tmp/dev。因此,我们可以在 /tmp 上创建一个名为“dev”的可执行脚本,这将为我们提供一个反向 shell。

【OSCP】bah

【OSCP】bah

End

“点赞、在看与分享都是莫大的支持”

【OSCP】bah

【OSCP】bah

原文始发于微信公众号(贝雷帽SEC):【OSCP】bah

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月20日00:32:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【OSCP】bahhttps://cn-sec.com/archives/2634766.html

发表评论

匿名网友 填写信息