废物的靶场日记 htb-oscp-shocker+bashed

废物的靶场日记 htb-oscp-shocker+bashed

shocker

oscp系列 easy难度的shocker 靶机IP 10.10.10.56

sudo nmap -sV -A -sS -p- --min-rate=5000 10.10.10.56
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
2222/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)

访问80是一个很有CTF风格的页面…

直接扫后台文件./dirsearch.py -u 10.10.10.56 -r 扫出来10.10.10.56/cgi-bin/
但是这题的难点就出现了 递归的是扫不出来东西的 这时候需要对后缀进行枚举 -e php,txt,sh,pl,py
扫到10.10.10.56/cgi-bin/user.sh 打开看到

Content-Type: text/plain
Just an uptime test script
02:55:18 up 40 min, 0 users, load average: 0.00, 0.00, 0.00

发现这是shellshock漏洞 查找exp后是在burp里把user-agent改改反弹shell
拿到shell以及user的flag 2ec24e11320026d1e70ff3e16695b233

sudo -l发现perl可以执行 那就直接root sudo perl -e ‘system("/bin/bash")’
拿下root的flag 52c2715605d70c7619030560dc1ca467 打完

Bashed

继续 一天两台oscp系列总要做的 easy难度的bashed 靶机IP 10.10.10.68

sudo nmap -sV -A -sS -p- --min-rate=5000 10.10.10.68 -Pn
就开了个80

dirsearch扫了一遍 发现有目录遍历 然后在10.10.10.68/dev下看到了phpbash.php 打开直接就是shell 直接就能拿到user的flag 2c281f318555dbc1b856957c7147bfc1

然后sudo -l 看到 (scriptmanager : scriptmanager) NOPASSWD: ALL

这里我们先nc到kali上 但是会发现怎么都上线不了
猜测就是因为从这个网页端php做的模拟shell到真实机器上会因为一些特殊字符或者引号受影响
所以这里我直接传了一个phpshell过去 然后发现 ./也会乱码 直接php nc.php上线即可

然后 sudo -u scriptmanager bash -i 直接切到scriptmanager上
上传linpeas扫 看到一个CVE-2017-16995 github上下个exp
因为是c的exp gcc编译一下传过去执行就行了 拿下root权限

cc4f0afe3a1026d402ba10329674a8e2