【OSCP系列】OSCP靶机—Katana

一、主机发现

image-20240529145416227

二、端口扫描

1、快速扫描

1
nmap.exe -F 192.168.31.57

image-20240529145502845

2、全端口扫描

image-20240529145749652

3、服务版本识别

1
nmap.exe -sV -sT -sC -O -p21,22,80,139,445,7080,8715,8088 192.168.31.57

image-20240529150206333

image-20240529150218701

21、22、80都是常见的服务,139、445是Samba服务,版本号在3.x-4.x,7080 是一个https服务,8715也是一个http服务

4、漏洞探测

1
nmap.exe --script=vuln -p21,22,80,139,445,7080,8715,8088 192.168.31.57

image-20240529150538337

三、FTP信息收集

刚才nmap 信息收集的时候,ftp并未显示未授权

image-20240529153121518

用hydra 进行简单的弱口令爆破,爆破失败

image-20240529155142725

四、HTTP信息收集

1、80端口首页

是一个武士军刀

image-20240529155317401

2、目录扫描

啥也没有

image-20240529160141608

上其他字典,扫到ebook

image-20240529160854898

有其他东西了

image-20240529160931617

看起来像是一个CMS类型网站,继续扫

3、admin.php

像是后台登陆页

image-20240529161453013

4、info.php

phpinfo页面

image-20240529161520241

5、SQL注入漏洞

image-20240529162025721

这里用sqlmap 跑,就不手工了

image-20240529162118318

结果非常妙,数据库翻找账号密码

image-20240529162425561

昂。。。账号密码这么草率吗?admin:admin登陆后台

image-20240529162538091

6、文件上传(失败)

在修改商品的地方,存在图片上传功能,这里或许存在文件上传

image-20240529162758380

到前台看了一下图片的路径在:/ebook/bootstrap/img/mobile_app.jpg

image-20240529162843618

尝试文件上传

image-20240529165506341

上传失败,一度疑似条件竞争,折腾了老大会儿,均失败了

7、转向8088端口

目录扫描

image-20240529165835076

8、文件上传

不会又一个失败的吧,尝试一下

image-20240529165929512

有两个上传点,上传了一个正常图片和一个恶意图片

image-20240529170322832

上传成功了,但是移动到了其他地方,不过这个地方依然像web服务的根目录

image-20240529170406689

没想到在8715端口的根目录下发现这张图片,那这就好办了

五、Getshell

我们在8088端口上传webshell

image-20240529170529155

提示报错,但是文件似乎依然移动过去了,蚁剑试试

image-20240529170654718

连接成功,同时,我们将shell转移至nc。方法很多,这里就不展示了

六、权限提升

1、/etc/passwd 文件

image-20240529171450269

昂。?爆破了多大会,一直出不来,先找其他提权方法

2、getcap查看权限

image-20240529173805547

有python

那直接一句话提权

1
python -c 'import os; os.setuid(0); os.system("/bin/sh")'

image-20240529173844328