OSCP系列靶机—Inclusiveness

一、主机发现

image-20240520151900221

二、端口扫描

1、快速扫描

image-20240520152020037

2、全端口扫描

image-20240520152416619

3、服务版本扫描

使用基本的脚本对21,22,80端口进行服务探测和版本扫描

1
nmap.exe -sT -sV -sC -O -p21,22,80 192.168.31.50

image-20240520152636647

ftp 存在匿名访问,80采用apache2 的一个http服务,系统使用Debian

4、nmap 基础漏洞探测

1
nmap.exe --script=vuln -p21,22,80 192.168.31.50

image-20240520153649501

未发现什么漏洞,指出80端口可能存在以下csrf 漏洞。

三、ftp 信息收集

ftp 的匿名访问查看ftp 服务有啥东西

image-20240520153537590

啥也没有,但可以上传文件

image-20240520161820172

四、http 服务信息收集

1、目录扫描

过滤404、403

image-20240520154229845

2、robots.txt 搜索引擎

image-20240520154813062

这些robots.txt 文件都在输出同样的语句,禁止我们的搜索引擎去访问robots.txt 文件

1
You are not a search engine! You can't read my robots.txt!

找到了这篇文章:详细robots.txt写法大全和禁止目录收录及指定页面

其中提到了两个UA头

1
2
Baiduspider
Googlebot

抓包修改UA头,得到/secret_information/的路径

image-20240520163123785

访问

image-20240520163208210

3、文件包含结合ftp 上传getshell

这里提到的是 DNS 区域传输攻击,不过这里考察的并不是该攻击,而是通过切换语言造成的文件包含漏洞

image-20240520164607428

ftp 的默认工作路径在/var/ftp,联合ftp 上传webshell进行包含

image-20240520165148245

image-20240520165826526

之后将webshell反弹到msf,这里就不演示了

五、权限提升

1、提权到tom

1
find / -user root -perm -4000 -print 2>/dev/null

image-20240520170743996

/home/tom/rootshell文件相当可疑啊

image-20240520170919194

还有一个rootshell.c文件,疑似源代码文件

image-20240520172008695

这段代码大致的意思是如果whoami是tom ,则输出access ...并重新进入一个sh。

采用环境变量,伪造一个whoami 的可执行文件,劫持真正的whoami命令

1
2
3
4
5
cd /tmp ; echo 'echo tom' > whoami ; chmod +x whoami

which whoami
echo $PATH
export PATH=/tmp:$PATH

image-20240520173328198

再次执行rootshell 文件,提权到tom

image-20240520173435588

2、提权到root

通过sudo -l发现全命令可用,直接sudo su提权到root

image-20240520173609057

获取flag

image-20240520173705535