靶场下载地址:https://www.vulnhub.com/entry/infosec-prep-oscp,508/
靶机启动后,直接获得IP地址。
对靶机进行全端口扫描、服务扫描、版本扫描,发现22/SSH、80/HTTP、33060/TCP。
扫描80/HTTP的目录和页面
在robots.txt文件中发现secret.txt文件
secret.txt文件是一串base64编码的字符串
解密后是SSH私钥
使用私钥可以登录oscp帐号
获得oscp用户权限
bash命令具有root用户的suid权限
bash命令能够用于提权
最终获得root用户权限
/home/oscp/ip 脚本有些可疑,因为里面的命令,oscp用户是没有权限执行的
猜测root用户会自动执行,但未找到对应的计划任务,使用pspy工具也未发现对应的系统进程,最终在 /etc/systemd/ 目录中找到了对应的自启服务。
oscp用户有 /home/oscp/ 目录的execute权限,可以强制修改目录中的文件,即使没有文件的write权限
添加反弹shell后重启靶机,可以获得root用户权限
oscp用户是lxd用户组的成员,可以通过创建特权容器实例并挂载宿主机磁盘的方式,读取宿主机中的任意文件
初始化LXD程序
获取 Alpine Linux 镜像,上传到目标靶机中,并导入到LXC中
使用 Alpine Linux 镜像,创建容器实例,并以特权模式运行
在容器实例中挂载宿主机磁盘
启动容器实例,在容器中执行返回shell的命令,获得容器权限
在容器中读取宿主机中的任意文件
本文分享自 OneMoreThink 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体同步曝光计划 ,欢迎热爱写作的你一起参与!