【OSCP系列】OSCP靶机—Sumo

一、主机发现

image-20240713200918079

二、端口扫描

1、快速扫描

image-20240713201007493

2、全端口扫描

image-20240713201102130

3、开放端口的服务信息

image-20240713201256990

4、开放端口的漏洞信息

image-20240713201755990

80端口受dos攻击影响

三、HTTP信息收集

1、源代码查看

image-20240713201721364

image-20240713201740102

没啥信息

2、目录扫描

image-20240713201656130

没结果,准备个大字典

image-20240713202824335

image-20240713203549284

大字典跑完了依然没结果

3、使用漏洞探测器

使用轻巧型扫描器 nikto 进行扫描,发现shellshock 漏洞

image-20240713203714112

看下解释

image-20240713203841473

四、Getshell

查找有关该漏洞的利用

image-20240713203945197

有很多msf 内置的利用方式,去msf查找

image-20240713204214469

确实有很多;在端口扫描中,发现80端口是apache服务,因此选择编号为1 的,更贴切apache

1
2
set rhosts 192.168.31.68
set TARGETURI /cgi-bin/test.sh

这里rhosts 是靶机ip,TARGETURI 是nikto 识别出来的路径

lhost、lport 可以不用动,默认是本机IP跟端口,如果不是需要修改

image-20240713205310315

成功获取shell

五、权限提升

1、用户信息收集

image-20240713205441368

只有一个sumo用户

image-20240713210829250

啥也米有

2、高权限文件

image-20240713211017228

啥也没有

3、脏牛提权

查看内核版本,版本较低,尝试脏牛提权

image-20240713211408827

查找提权脚本

image-20240713212145891

对该cpp文件在本地进行编译

image-20240713212454223

通过python开启的http服务,上传到靶机

image-20240713212531447

之后添加执行权限并执行

image-20240713212717174

提权失败

4、脏牛提权其他姿势

image-20240713212805575

查看编译语句

image-20240713212958765

上传到靶机进行编译执行

image-20240713214237675

用ssh连接提权到root

image-20240713214351227