【OSCP系列】OSCP靶机—Ha-natraj

一、主机发现

image-20240630145606754

二、端口扫描

1、快速扫描

image-20240630145644330

2、全端口扫描

image-20240630145713927

image-20240630145929111

3、服务版本探测

image-20240630145940567

正常的ssh服务和http服务,是Ubuntu系统

4、漏洞探测

image-20240630150326003

发现了consoleimages目录

三、HTTP信息收集

先对首页展开调查

image-20240630150231216

大致都是对这位Nataraj的印度神进行了讲述,并无有价值的东西

看下nmap扫描出来的console目录,这个目录的名字我们还是很感兴趣的

image-20240630150457085

噢,有个file.php,是个很好的点

image-20240630150525571

一片空白?我们FUZZ试试

image-20240630153904848

file参数,成功挖掘到一个漏洞

image-20240630153948936

四、Getshell

在上面的/etc/passwd文件中发现两个用户名

image-20240630154056230

PHP伪协议读取这个file.php文件内容

image-20240630154321835

目前只有一个任意文件包含漏洞;能想到的有日志文件包含

本想包含一下apache 的日志,但是是个空白

image-20240630155240403

转去包含其他日志去;Ubuntu 的登陆日志在/var/log/auth.log

image-20240630155356137

OK,有登录日志;那利用ssh登陆,写入webshell;这里用了很多方法,均未成功,最终使用如下方法

image-20240630163039088

连接成功(如果失败,可以重置靶场环境多尝试)

image-20240630164930178

将shell反弹到nc上

image-20240630165307264

五、权限提升

1、提权至mahakal

看到apache可以sudo 开启暂停,之后查找apache相关可操作的关键性文件

image-20240630175107120

通过修改apache的运行用户,达到提权,但是这里需要简单说明一下

这里不能修改成root,apache默认不允许root启动,如果要root启动,需要添加“-DBIG_SECURITY_HOLE”到CFLAGS环境变量中重新编译

因此,只能选择root之外的普通用户;记得把前面的注释掉

image-20240630180950251

保存配置文件,重启服务器,然后重新连接shell,拿到mahakal用户的权限(注意多等待会,apache重启需要时间)

image-20240630181618663

2、提权至root

之后反弹shell,查看sudo

image-20240630181739763

nmap的sudo提权方法

image-20240630181828812查看nmap 的版本

image-20240630181939177

高于5.21,只能用第一种方法

image-20240630182126028

提取成功