OSCPFALL

OSCP---FALL

声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者和此公众号不为此承担任何责任。

一、启动靶场

二、靶场渗透

扫描主机/端口

Nmap -sn 192.168.126.0/24

Nmap -sV -sC -p- 192.168.126.138    

发现了一个80的http的端口    

扫描目录

都看过了之后，发现了两个目录，error.php与test.php

ffuf -u 'http://192.168.126.138/error.php?FUZZ=../../../../../etc/passwd' -w /usr/share/dirb/wordlists/common.txt -fs 80

ffuf -u 'http://192.168.126.138/test.php?FUZZ=../../../../../etc/passwd' -w /usr/share/dirb/wordlists/common.txt -fs 80

发现了file可以进行文件读取    

我们能读取/etc/passwd是不是也能读取别的文件呢，我们发现有一个用户就是qiu

那么我现在没有突破口，我们在看看别的有用的东西

提示了需要用私钥登陆

那么我们就读取一下私钥的文件

确实有公钥的文件并且还是qiu这个用户    

私钥存放的默认文件是id_rsa,之后我们把私钥保存到id_rsa文件中并且给id_rsa文件夹chmod 600 权限

我们既然都准备就绪，那么我们就开始ssh登陆吧    

已经成功登陆了，看看这个账号权限

Which python

查看主机是否有python

Python -c ‘pty;pty.spawn(“/bin/bash”)’

做了一个交互式python shell

find /-perm -u=s -type f 2>/dev/null

查新一下是否有用的指令

Sudo用不了需要密码

那么我们就看看有没有什么有用的文件吧    

发现了一个history的文件，命令历史文件，其中发现了一个

echo "remarkablyawesomE" | sudo -S dnf update这个指令，这个指令的意思就是使用sudo来做一个元数据检查，但是上面我们知道sudo需要密码，那么前面的echo就是密码，我们执行一下看这个命令能否执行就知道密码是否正确

我们看到已经成功了，那么吧指令换了是不是就可以了呢试试

确实成功了，证明echo "remarkablyawesomE" 就是密码

那么我们切换一下用户

提权成功

原文始发于微信公众号（攻防学堂）：OSCP--FALL