OSCP系列靶机—Seppuku

一、主机发现

二、端口扫描

1、快速探测

2、全端口扫描

同时探测UDP常用的20个端口，没有准确的开放端口

3、服务版本探测

给了很多版本和服务的信息，以及推测存在于linux 4.x|5.x 的版本，版本较高

80端口的HTTP服务提示401未授权，7080开放在一个携带ssl 的http服务，7601、8088都开放了一个http服务

4、漏洞探测

在80端口显示很多目录文件，但是都给出401 未授权提示

7080端口给出一个empowerid 服务，网查了一下，可以搜索官网深入了解

EmpowerID 是一款身份管理和访问控制解决方案，它提供了一套全面的服务来帮助企业安全地管理用户的身份和访问权限。

这里nmap给出了CVE-2010-2333 的漏洞，表明这个服务存在一个源代码泄露的CVE编号漏洞，在后面的渗透过程中可能存在利用

8088 端口给出了一个易受DOs攻击的薄弱点，再次给出了CVE-2010-2333 的漏洞，并在后面给出了一个html 页面的源代码

在针对主机的脚本扫描中，指出smb服务易受smb-vuln-regsvc-dos攻击，易受拒绝服务而崩溃

三、FTP信息收集

nmap并未扫描出ftp 存在未授权，尝试未授权登陆

不能登陆

四、SMB信息收集

SMB也没有可利用的点

五、HTTP信息收集

1、80端口

一个授权的登陆，但是我们不知道账号密码

让nmap 进行爆破

1	nmap --script=http-brute -p80 192.168.31.83

未发现账号密码，之前nmap 给出目录扫描结果中都是401的未授权，所以也没有做目录扫描的必要了

2、7080信息收集

一个404的页面，但是在nmap扫描中给出LiteSpeed web服务，下面对这个软件做一个简单的介绍

LiteSpeed Web Server (LSWS) 是一款以快速性能和高可扩展性而知名的专有网络服务器软件，同时也提供了一流的安全性，例如内置功能有助于防止分布式拒绝服务（DDOS）攻击。它与广泛使用的Apache网络服务器完全兼容，这意味着用户可以在不改变现有应用程序或操作系统的情况下，无缝切换到LiteSpeed 。

做一个目录扫描

OpenLiteSpeed Web Server 1.6 是否存在漏洞呢

这几个版本不对应

3、7601信息收集

首页一张图，图片也没有隐藏的信息；做目录扫描

看敏感目录的时候发现

翻到shadow.bak 的备份文件，不过这个散列值不是那么容易破解的啊，但是上面好像还有个password.lst 文件

啊？是不是有点过分了，甚至还有个passwd.bak 的备份文件，做个爆破

没有欸，用其他的目录扫描工具

发现多了几个其他的路径

六、Getshell

对 shadow.bak 中的 rabbit-hole 的用户名密码进行爆破

OK啊，非常的快速且精准

但是，拉跨了，密码不对，应该是被改掉了，看来这个r@bbit-hole用户登陆不了了

我们还有一个 hostname没用

成功getshell

七、权限提升

1、信息收集

我们需要优化我们的shell，后面每一个都需要优化

1	python -c 'import pty; pty.spawn("/bin/bash")'

这个文件有点意思昂，尝试登陆到其他用户

2、提权至samurai

查找提权信息

这里有点鸡肋昂

3、提权至tanto

回到之前的目录扫描中发现的keys路径，发现了某个ssh密钥

尝试用密钥连接

成功提权至tanto

4、提权至root

我们去创建 home/tanto/.cgi_bin/bin 文件，写入+s 的 /bin/bash

直接提权至root