OSCP系列靶机—Dawn1

一、主机发现

这个靶机需要放在virtualBox 上,那么有关virtualBox 与 VMware 的kali网络通讯方法请访问:【基础知识】VirtualBox和VMware的kali搭配食用 | Lusen的小窝 (lusensec.github.io)

image-20240724191243817

二、端口扫描

1、快速探测

image-20240724191602248

2、全端口扫描

image-20240724192957783

我们连带UDP也一起扫描

image-20240724193358714

3、服务版本探测

1
nmap -sT -sV -sC -O -p 80,137,139,445,3306,5353 192.168.56.103

image-20240724193554220

都是常见的那些服务,这里5353是需要udp扫描,暂时先搁置下来;后面也有对主机的一个扫描,跑在linux服务器上

image-20240724193616284

这个smb服务会不会存在漏洞呢

4、漏洞探测

1
nmap --script=vuln -p 80,137,139,445,3306,5353 192.168.56.103

image-20240724194045320

80端口做了一个目录扫描,发现logs目录;后面还有对主机展开探测的,发现一个易受dos攻击的smb服务

image-20240724194221909

三、HTTP信息收集

1、首页与源代码

image-20240724194421929

OK,没有给任何的提示,甚至这个标签写的都有点不太到位

image-20240724194535214

2、目录探测

image-20240724194747417

也是只扫到logs目录

3、logs目录

image-20240724194815126

欸,这个auth.log的文件名好眼熟欸,但是我们点进去之后是这样的;看来作为www用户是没有访问权限的

image-20240724194914332

但是这个文件却可以下载下来

image-20240724195020324

这个文件的内容看起来像是某个监控软件的日志;结合www用户可以查看,推测是web服务应用

image-20240724195603660

所以web一定是有东西存在的

四、SMB信息收集

1、尝试smb连接

image-20240724214009409

尝试连接;连接成功,有一个文件,下载下来查看确是一个空文件

image-20240724214249107

image-20240724214457912

2、尝试smb文件上传

既然这个smb 里面没有东西,那我们尝试文件上传

image-20240724214538582

上传成功,可以上传文件,这在之后的渗透中可能有用

五、MySQL信息收集

在简单尝试了弱口令失败后,提示给的密码不正确,我们来尝试爆破密码

image-20240724215424155

先爆破,继续往后

六、Getshell

1、managemet.log 文件

到此为止,再无任何的信息可供收集,于是又去看了management.log文件,重新下载了一遍

image-20240724220244351

居然多了好多东西,看这样子,好像是系统各进程的信息

image-20240724220324695

之前没有这些东西,可能是刚开机,很多服务没加载出来;在最后发现了很多有趣的东西

image-20240724220543948

有两个用户名ganimedesdawn,还有两个777的文件,其中一个文件的路径很可疑,/home/dawn/ITDEPT/web-control中的ITDEPT似乎在哪儿见过

image-20240724221032662

欸,莫不是同一个地方?

2、smb文件上传加定时执行getshell

management.log文件中显示,只会执行ITDEPT路径下的web-control文件,所以我们可以构造一个反弹shell 的web-control文件上去等待执行

image-20240724221357960

通过smb 上传该文件,等待执行

image-20240724221430449

等待了许长时间不见反弹,我们修改反弹的命令,再次等待

image-20240724222148047

OK,也是终于接收到反弹了,成功getshell

七、权限提升

1、信息收集

image-20240724222400890

这里logs目录的其他文件果然是www用户无权限查看

image-20240724222502809

欸,这里有个.index.html.swp文件竟然没有扫出来,看来以后要扫描到细致才行

image-20240724223047805

这里也确实是我们推测的那个目录

2、sudo提升至root

发现存在sudo 滥用,直接一句话提权

image-20240724223323889