目錄
OSCP備戰走向巔峯
——之華麗轉身
前言
今天是2021年的第三天,庚子年冬月二十;本來之前就想寫了,一些客觀因素的問題導致沒有寫成,準備備考OSCP也是自己的一個想法和做法,畢竟從事於這個行業,還有當前的趨勢下,一年以前開始着手準備。當時就是聽說有這麼個證書還永不失效,簡單的想法是既然自己從事於安全行業,這個證書就當是一個里程碑吧,不管是以後不做或是換行等等。它也是一個很好的見證,見證了自己的青春歲月,見證了自己所具備的專業的技術能力和永不止步的進取精神,等下我會從幾個方面講講我是如何備考OSCP的;
19年的時候,當時的工作不是很忙;所以想利用閒暇時間來給自己充充電的想法,那個時候並沒有想去考這個,因爲OSCP的實驗室和考試的費用很高,然而當時的我根本沒有那麼多的薪水。只能勉強維持自己的生活,哪還有什麼富裕的金錢來準備這個呢;之後,看到有人發表的文章提到了關於這方面的知識,於是就開始整理和學習,先是從vulhub開始練習畢竟是免費的,不用花錢可以白嫖;因爲我有些基礎所以上手就比較容易,就開始了漫漫長夜的里程了,剛開始的時候是自己去搜索尋求別人怎麼做的這個題目的,我認爲先學形,再學意,在哲學上講,量變達到一定程度才能形成質變;基本上是每天一個vulhub,大概有40多套吧,除了那些打開不能用的以外基本上所有的都做過了。在這期間呢,利用了搜索引擎比如,百度、Google、bing等等,去搜集信息。其實OSCP核心的考點就是考驗信息收集的能力,這也是滲透測試的本質和精髓之所在,同時就是權限提升考驗對漏洞的利用情況;所以我認爲如果你想考OSCP證書,如果你是零基礎可能準備起來稍微費點勁,因爲首先你得熟悉kali系統和你的英文水平,爲什麼這麼說呢,考試機器就是kali,而內容就是老外出的題,人家可不會給你出個漢語集成的,不過有些同學可以安裝一個插件去進行頁面翻譯也是可以;但是我是特別建議,還是希望你有一定的英文水平,沒有四級水平三級也行,我呢是在學校的時候考過的四級看一些專業的詞彙也得查,建議你還是學一點,這樣你可以節省大量的時間去做題而不是去翻譯;還有就是熟悉pwk它是考試的基礎,先學會了裏面的東西讓自己整體有個知識點,再去做題會好一些。我是有些基礎所以沒做,先是去做的vulhub,之前就玩過vulhub所以上來先做個vulhub,一會兒我會把我的一些資料整理髮到下面供大家學習參考;還有我希望你可以學習一下《web安全攻防》《web安全深度剖析》,當然是給沒有基礎的同學提的建議;當時做了好多的vulhub靶機感覺快要吐了,爲什麼呢,有時候根本搜不到或者你就算搜到了文章也是殘缺不全,還有就是根本不對的思路;這是常常思考如何去解決一系列的問題,不過還好我比較有意志力不停的堅持,想起高中老師和《火藍刀鋒》的一句經典臺詞:“要想獲得你從未有過的東西,必須付出你從未有過的努力”;
接下來就是HTB的內容,做的不是很多,但是基本上也是把Wirteups都看了一遍,做了比較和筆記,找到各種靶機之間的差異,形成了一套綜合的解題思路,之後掙錢攢鈔票買了兩個月LAB,做了十幾套的靶機,每個靶機都有不少的兔子洞,畢竟這些靶機系統是比較老舊的系統;有Windows和Linux的,比如:Windows xp ,Windows 2003,Windows 2008,ubuntu 12.0.4等等;思路決定出路,思維方式決定解決方式,當我們遇到了這些我們從未遇到過的事情的時候,請你 calmness!一切回到起點,從新開始,觀察每一個看似不可能存在問題的點,那就是容易出現問題的點,多佔在出題人的角度思考問題,假如今天你出題,你怎麼會設置漏洞,怎麼設置障礙物,怎麼設置陷阱。當你覺得自己的水平有限的時候,不妨休息休息,大腦的CPU可能已經處理不了這麼多的文件了,它也需要休息了。當你休息後再去思考這些事情,我相信就算是沒有思路也會有峯迴路轉的想法;我在學習和練習的時候也曾想過放棄,也曾覺得枯燥無味,後來想想這都算什麼呀,不過是你爲了獲取某些不屬於自己的東西而付出的代價。只要代價合理一切可以;當你在猶豫做某些事情的時候,何不立刻行動,就算錯了又能怎麼樣呢,在這個世界上又有誰能分得清是對是錯,不過是在人們的一念之間罷了,事後回想也許是最好的回憶,最值得去幹的事情呢。
有的時候我們會感覺到爲什麼他或者她會成功呢?有人說運氣好,有人說背景好。我認爲都對,只是其中的一部分,正所謂天時不如地利,地利不如人和;當機會擺在我們面前的時候,我們得有能夠抓住他的信心和與之匹敵的能力,才能擁有。
曾經有位英國教授這樣說過,我把它翻譯成了中文:不要害怕失去,嘗試再一次失去;意思是當你真正的一無所有的時候,你才知道自己想要什麼。送給正在瀏覽文章的你,祝你好運!
解題思路
結合了一些前輩的思維方式進行了整理;不過都是些大同小異的地方;關鍵還是自己能形成一套屬於自己的解題思路;據瞭解分析現在考試應該有兩套題,一套稍簡單,但差距也並沒有很大,好好準備75分應該大部分人都能拿到。OSCP考的是利用現有漏洞,只需稍微修改或者不改,所以不要考慮的太複雜,發現可疑點直接搜exploit-db,如果找對突破口其實還是比較直接的,還有一點,漏洞的利用有時候單看exploit-db 還有些疑問,這時去搜索htb的writeup 看看有沒有類似的教程會節省很多時間。最後建議把htb退役的機器easy和medium的都打一遍,或者至少跟着writeup走完,這樣應對考試應該就沒有問題了。bof基本功要紮實,端口掃描要全端口TCP+UDP;信息收集要細緻,什麼banner信息、snmp信息、端口信息之類的要仔細,尤其是在沒進展的時候看看snmp的信息裏是不是有不常見的敏感信息;提權linux下suid很重要,win就要看第三方軟件和服務了;還有小夥伴遇到的是1bof+2service+2web,基本上bof屬於送分,2個系統服務的漏洞也比較簡單,一個是10分的不需要提權,另一個是linux提權考的第三方軟件權限配置不當,總體難度不大。難點在於2個web系統的提權上,web題目的入口基本是很直接的,拿到user權限基本上是送分環節,提權是重點,尤其是windows提權,小夥伴遇到的這兩臺web都是windows提權,版本很高,折騰了很久也沒搞定。最後是剩下兩個提權沒做,基本看分數是可以通過的。因此,還沒有參加考試的小夥伴要注意下windows的提權,教材裏的方法是必須掌握的哦。基本就算掛nmap跑4臺靶機的端口(bof就不用跑啦)同時開始做bof題目(大概耗時30分鐘做完)剩下題目按分值看是25、20、20、10;最少題目通過路線:25+20;降低難度通過路線:20+20+10(一般來說分值高的難度大)也就是說最多扔一道25分的,或者扔一個20+一個10分的。你會發現做完bof你必須至少要再做出一個20分的,因此一般套路是bof做完先看20分的那兩道,迅速搞定一個20的。再看25分的,花些時間認真搞一下,如果不行轉戰剩下的20+10。時間分配上也很重要,要留出休息時間,連續答題2-3小時一定要休息10分鐘,喫點東西喝點水。還有就是屬於bof+3web+1server的組合,基本還是常規套路:1、nmap過全端口;2、枚舉端口服務,看版本,找expdb;3、枚舉web使用的cms,找expdb;4、提權linux用LinEnum.sh,Windows用accesschk.exe+WinPrivCheck.bat;這一路下來基本搞定了4.5道題,就剩一個提權沒拿下來。
又有前輩是這樣的想法:據悉最近的考試中遇到的兔子洞不少,比如看似低版本的ftp不一定能溢出成功、高端口的RPC服務也不一定能拿不到shell、看似低版本的linux內核不一定能用exp提權成功;至少目前bof還是穩定的,不要將題目拷貝出來在本地windows環境中調試,很有可能環境不一樣,會出現很多靈異現象,還是要安安穩穩在那臺win7的靶機上調試吧;提權還是提權:目前的題目已經很少有能直接內核exp提權的了,我之前考試的時候還是有的,所以多提權是考試通過的關鍵,linux就多看看root權限運行的服務或者進程,windows就多找找第三方軟件然後到expdb上擼一遍,或者dll劫持之類的。
還有這樣的解題思路:
1、linux的exp提權:先uname -an看內核版本,然後到exploit-db上找exp;有些需要gcc編譯,需要注意庫版本。
2、linux的進程或服務提權:先查看進程和服務信息,關注以root運行的服務和進程,接下來套路就是exploit-db找exp或者利用服務自身機制提權,比如調用服務的命令執行接口等。
3、linux的配置錯誤進行提權:關注etc/corntab文件,關注下有root運行的文件路徑,如果該文件可以修改,就可以用root權限執行命令。
4、windows的exp提權:比對版本和補丁信息,然後到exploit-db上找exp;有些調用c++支持庫,需要注意沒有相關dll需要上傳。
5、windows的第三方軟件或系統服務提權:如果發現系統是2016、2019這樣的,基本就不要想exp提權了,可以看下net start啓動的服務或者使用的第三方軟件,到exploit-db上找exp,或者sc改下服務然後restart下服務。
也有這樣的思路:
bof依然穩定,思路套路與真題一樣,改變了eip,badchars,jmpesp地址而已,真題打熟練了,穩拿25分。
有的bof題目沒有變可以先穩拿25分。
後面兩道web題目,一個是exploitdb上能找到RCE利用,但提權沒提上去;
另一個是robot.txt報出目錄,文件包含漏洞獲取passwd,破解賬號密碼可ssh,提權成功;
另外一個是snmp獲得系統軟件信息,然後用了msf打成功獲得root;
最後一個沒做出來。
編寫考試報告+lab靶機10臺報告,提交之。
真題回憶版:
1、20分web題:當然80端口是虛晃一槍,另一個端口才是正解入口,然後老規矩robots.txt找路徑,發現一個web系統,老規矩admin之,進去後到exploit-db找exp來打,各種rce都可以拿到shell,提權是linux內核提權穩穩提權成功。
2、10分系統題:端口開了不少,一個一個枚舉服務,然後找exp,最後一個重複類型的服務使用了低版本,直接exp打就是root權限。
3、20分web題:首頁猜路徑,需要結合社工,找後臺目錄,爆破賬號密碼(需要結合之前頁面上的提示信息),注意爆破有次數限制,會鎖定賬號,進後臺後文件上傳繞過後綴名黑名單即可上傳webshell,反彈拿到shell,提權之。
4、25分緩衝區溢出題目:沒變化,不多說,秒殺。
5、25分web題:老規矩admin之,看phpinfo之,進web系統,到exploit-db找exp來打,獲得shell,提權要結合系統服務,這是唯一一臺win的機器,也可以用msf提之,注意是64位的。
報告注意事項
另外報告一定要注意:
1、截圖要完整;
2、local.txt和proof.txt都完整;
3、考試面板裏的flag要ip對應寫正確;
4、報告格式可以用自己的模板(有同學用自己的模板寫的報告,順利通過考試);
5、漏洞等級等說明、入侵痕跡清除部分不寫不會扣分(有同學沒寫這些也順利通過考試啦);
6、滲透和提權的過程一定要寫完整,命令、poc代碼之類的必須完整。
報告格式
https://blog.csdn.net/qq_34304107/article/details/87617133
1、可以使用官方的報告模板;
2、也可以使用需求裏那個lab模板(已經有同學用這個模板通過了考試);
3、技術步驟要清晰,建議每步列一個小標題(1、掃描探測;2、漏洞發現;3、漏洞利用;4、權限提升……)
4、截圖!!!儘量截全屏;在交互式shell下截圖;重要的地方可以劃線劃圈標註出來;
關於交互式shell:
這裏要說下不要在webshell下執行命令截圖(讀取proof.txt和ip地址),因爲webshell下執行的shell不是交互式shell,官方審覈報告的時候會扣分的,當然也有下夥伴用蟻劍或者冰蠍之類的工具執行命令並截圖,原則上來說這些有的也屬於非交互式的,但確實有同學只截了命令部分(界面是黑框和cmdshell樣子差不多)官方也沒過了。但還是建議穩妥一些,拿到webshell後反彈回來cmdshell的好。可以發現udf提權不是第一次遇到了,在之前國外泄露出來的題目中也有udf提權的,說明官方比較喜歡用這個伎倆。
備考內容整理
這個只是其中比較重要的一部分,有需要的同學找我或者公衆號吧;
推薦幾個不錯的windows提權資料:
http://www.exumbraops.com/penetration-testing-102-windows-privilege-escalation-cheatsheet
https://www.absolomb.com/2018-01-26-Windows-Privilege-Escalation-Guide/
https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Windows%20-%20Privilege%20Escalation.md
還有一個很適合oscp考試中用來掃描的工具:
https://github.com/Tib3rius/AutoRecon
linux提權輔助,考試中推薦順序如下:
LinEnum.sh、linuxprivchecker.py、linux-exploit-suggester.sh、perl-linux-exploit-suggester-2.pl
windows提權輔助,需要結合accesschk.exe配套使用:
WinPrivCheck.bat
https://cyb3rsick.com/2019/01/20/192-168-x-53-offsecsmtp-outofbox-machine-writeup/
思維導圖
成果展示
加油!!!
