【OSCP】twisted

admin
admin
admin
138428
文章
113
评论
2024年7月30日15:32:10评论18 views字数 1798阅读5分59秒阅读模式
【OSCP】twisted

OSCP 靶场

【OSCP】twisted

靶场介绍

twisted

easy

图片隐写、stegseek 使用、音频隐写、私钥利用、二进制逆向、ida 使用

信息收集

主机发现

  1. nmap -sn 192.168.1.0/24

端口扫描

  1. └─# nmap -sV -A -p- -T4 192.168.1.66
    Starting Nmap 7.94 ( https://nmap.org ) at 2024-02-18 01:24 EST
    Nmap scan report for 192.168.1.66
    Host is up (0.00064s latency).
    Not shown: 65533 closed tcp ports (reset)
    PORT     STATE SERVICE VERSION
    80/tcp   open  http    nginx 1.14.2
    |_http-server-header: nginx/1.14.2
    |_http-title: Site doesn't have a title (text/html).
    2222/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
    | ssh-hostkey: 
    |   2048 67:63:a0:c9:8b:7a:f3:42:ac:49:ab:a6:a7:3f:fc:ee (RSA)
    |   256 8c:ce:87:47:f8:b8:1a:1a:78:e5:b7:ce:74:d7:f5:db (ECDSA)
    |_  256 92:94:66:0b:92:d3:cf:7e:ff:e8:bf:3c:7b:41:b7:5a (ED25519)
    MAC Address: 08:00:27:11:93:59 (Oracle VirtualBox virtual NIC)
    Device type: general purpose
    Running: Linux 4.X|5.X
    OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
    OS details: Linux 4.15 - 5.8
    Network Distance: 1 hop
    Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

    TRACEROUTE
    HOP RTT     ADDRESS
    1   0.63 ms 192.168.1.66

【OSCP】twisted

目录扫描

权限获取

从图片中提权隐写文本信息,疑似账号密码

  1. stegseek cat-original.jpg
    stegseek cat-hidden.jpg

【OSCP】twisted

【OSCP】twisted

  1. └─# steghide extract -sf cat-original.jpg
    Enter passphrase: 
    wrote extracted data to "markus.txt".
                                                                                                                                                          
    ┌──(rootkali)-[~/下载]
    └─# steghide extract -sf cat-hidden.jpg  
    Enter passphrase: 
    wrote extracted data to "mateo.txt".

【OSCP】twisted

尝试通过上面发现的账号密码进行登录,成功获取权限。【OSCP】twisted

从mateo 账号里面发现一个音频文件,通过该网站解码获取信息如下,感觉被玩了。

  1. https://morsecode.world/international/decoder/audio-decoder-expert.html

【OSCP】twisted

【OSCP】twisted

markus 账号里面获取如下信息

  1. markus@twisted:~$ id
    uid=1001(markus) gid=1001(markus) groups=1001(markus)
    markus@twisted:~$ ls
    note.txt
    markus@twisted:~$ cat note.txt 
    Hi bonita,
    I have saved your id_rsa here: /var/cache/apt/id_rsa
    Nobody can find it.

linpeas.sh 脚本发现/usr/bin/tail 文件具有任意文件读取的能力

【OSCP】twisted

尝试读取id_rsa 文件

【OSCP】twisted

成功读取到id_rsa 私钥后,我们尝试使用bonita 账号进行登录

【OSCP】twisted

权限提升

通过命令发现beroot 程序存在 suid 权限

【OSCP】twisted

strings 查看字符串发现存在命令执行的函数

【OSCP】twisted

使用ida 逆向可以看到如下代码,当输入的值等于5880时,执行system函数

【OSCP】twisted

重新执行beroot程序输入5880 成功提权到root 权限。

【OSCP】twisted

End

“点赞、在看与分享都是莫大的支持”

【OSCP】twisted

【OSCP】twisted

原文始发于微信公众号(贝雷帽SEC):【OSCP】twisted

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月30日15:32:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【OSCP】twistedhttps://cn-sec.com/archives/3014684.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息