目录
靶场下载地址:https://www.vulnhub.com/entry/infosec-prep-oscp,508/
1. 侦查
1.1 收集目标网络信息:IP地址
靶机启动后,直接获得IP地址。
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/10-1736448848.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
1.2 主动扫描:扫描IP地址段
对靶机进行全端口扫描、服务扫描、版本扫描,发现22/SSH、80/HTTP、33060/TCP。
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/6-1736448849.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
1.3 主动扫描:字典扫描
扫描80/HTTP的目录和页面
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/9-1736448851.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
在robots.txt文件中发现secret.txt文件
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/6-1736448852.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
secret.txt文件是一串base64编码的字符串
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/6-1736448853.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
解密后是SSH私钥
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/8-1736448856.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
2. 初始访问
2.1 有效账户:本地帐号
使用私钥可以登录oscp帐号
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/9-1736448857.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
获得oscp用户权限
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/10-1736448858.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
3. 权限提升
3.1 滥用特权控制机制:Setuid和Setgid
bash命令具有root用户的suid权限
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/3-1736448860.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/4-1736448861.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
bash命令能够用于提权
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/7-1736448863.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
最终获得root用户权限
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/3-1736448864.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
3.2 创建或修改系统进程:Systemd服务
/home/oscp/ip 脚本有些可疑,因为里面的命令,oscp用户是没有权限执行的
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/8-1736448866.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
猜测root用户会自动执行,但未找到对应的计划任务,使用pspy工具也未发现对应的系统进程,最终在 /etc/systemd/ 目录中找到了对应的自启服务。
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/1-1736448867.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
oscp用户有 /home/oscp/ 目录的execute权限,可以强制修改目录中的文件,即使没有文件的write权限
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/2-1736448868.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/4-1736448869.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
添加反弹shell后重启靶机,可以获得root用户权限
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/9-1736448870.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/6-1736448871.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
3.3 利用漏洞提权:LXD程序
oscp用户是lxd用户组的成员,可以通过创建特权容器实例并挂载宿主机磁盘的方式,读取宿主机中的任意文件
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/0-1736448872.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
初始化LXD程序
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/4-1736448873.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
获取 Alpine Linux 镜像,上传到目标靶机中,并导入到LXC中
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/1-1736448875.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/7-1736448877.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
使用 Alpine Linux 镜像,创建容器实例,并以特权模式运行
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/10-1736448877.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
在容器实例中挂载宿主机磁盘
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/5-1736448878.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
启动容器实例,在容器中执行返回shell的命令,获得容器权限
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/0-1736448880.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
在容器中读取宿主机中的任意文件
![攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]](http://cn-sec.com/wp-content/uploads/2025/01/0-1736448881.png "攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]")
原文始发于微信公众号(OneMoreThink):攻防靶场(35):3d提权之suid、systemd、lxd [InfosecPrepOSCP]
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论