【OSCP系列】OSCP靶机-Dawn1(原创)
OSCP系列靶机—Dawn1
原文转载已经过授权
原文链接:Lusen的小窝 - 学无止尽,不进则退 (lusensec.github.io)
一、主机发现
这个靶机需要放在virtualBox 上,那么有关virtualBox 与 VMware 的kali网络通讯方法请访问:【基础知识】VirtualBox和VMware的kali搭配食用 | Lusen的小窝 (lusensec.github.io)
二、端口扫描
1、快速探测
2、全端口扫描
我们连带UDP也一起扫描
3、服务版本探测
nmap -sT -sV -sC -O -p 80,137,139,445,3306,5353 192.168.56.103
都是常见的那些服务,这里5353是需要udp扫描,暂时先搁置下来;后面也有对主机的一个扫描,跑在linux服务器上
这个smb服务会不会存在漏洞呢
4、漏洞探测
nmap --script=vuln -p 80,137,139,445,3306,5353 192.168.56.103
80端口做了一个目录扫描,发现logs目录;后面还有对主机展开探测的,发现一个易受dos攻击的smb服务
三、HTTP信息收集
1、首页与源代码
OK,没有给任何的提示,甚至这个标签写的都有点不太到位
2、目录探测
也是只扫到logs目录
3、logs目录
欸,这个auth.log的文件名好眼熟欸,但是我们点进去之后是这样的;看来作为www用户是没有访问权限的
但是这个文件却可以下载下来
这个文件的内容看起来像是某个监控软件的日志;结合www用户可以查看,推测是web服务应用
所以web一定是有东西存在的
四、SMB信息收集
1、尝试smb连接
尝试连接;连接成功,有一个文件,下载下来查看确是一个空文件
2、尝试smb文件上传
既然这个smb 里面没有东西,那我们尝试文件上传
上传成功,可以上传文件,这在之后的渗透中可能有用
五、MySQL信息收集
在简单尝试了弱口令失败后,提示给的密码不正确,我们来尝试爆破密码
先爆破,继续往后
六、Getshell
1、managemet.log 文件
到此为止,再无任何的信息可供收集,于是又去看了management.log文件,重新下载了一遍
居然多了好多东西,看这样子,好像是系统各进程的信息
之前没有这些东西,可能是刚开机,很多服务没加载出来;在最后发现了很多有趣的东西
有两个用户名ganimedes和dawn,还有两个777的文件,其中一个文件的路径很可疑,/home/dawn/ITDEPT/web-control中的ITDEPT似乎在哪儿见过
欸,莫不是同一个地方?
2、smb文件上传加定时执行getshell
在management.log文件中显示,只会执行ITDEPT路径下的web-control文件,所以我们可以构造一个反弹shell 的web-control文件上去等待执行
通过smb 上传该文件,等待执行
等待了许长时间不见反弹,我们修改反弹的命令,再次等待
OK,也是终于接收到反弹了,成功getshell
七、权限提升
1、信息收集
这里logs目录的其他文件果然是www用户无权限查看
欸,这里有个.index.html.swp文件竟然没有扫出来,看来以后要扫描到细致才行
这里也确实是我们推测的那个目录
2、sudo提升至root
发现存在sudo 滥用,直接一句话提权
原文转载已经过授权
更多文章请访问原文链接:Lusen的小窝 - 学无止尽,不进则退 (lusensec.github.io)