adarsh-hue799/pgplay-oscp-writeups
GitHub: adarsh-hue799/pgplay-oscp-writeups
一份专注于 OSCP 备考的 Proving Grounds Play 靶场通关笔记,详尽记录了渗透全流程及实战踩坑经验。
Stars: 1 | Forks: 0
# 🎯 OffSec Proving Grounds Play — OSCP 备考笔记
OffSec Proving Grounds Play 靶机的结构化笔记——均来自 VulnHub,托管在 OffSec 平台上。完整记录了信息收集、漏洞利用和权限提升步骤。
   
*记录完整过程——从侦察到获取 root 权限,包括失败的尝试及原因。*
## 🖥️ 靶机
| 靶机 | 操作系统 | 难度 | 作者 | 关键技术 |
|---------|-----|------------|--------|----------------|
| [Katana](./KATANA) | Linux (Debian) | Easy | SunCSR Team | Web 枚举,CMS 默认凭据,文件上传绕过,Python capabilities 提权 |
| [DC-1](./DC-1) | Linux (Debian) | Easy | DCAU | Drupal CMS,Drupalgeddon2,SUID 漏洞利用 |
| [DC-2](./DC-2) | Linux (Debian) | Easy | DCAU | WordPress,WPScan,CeWL,rbash 逃逸,sudo git |
## ⚙️ 方法论
每台靶机都遵循相同的结构化方法:
```
Reconnaissance → passive info gathering
↓
Enumeration → nmap, gobuster, wpscan, nikto
↓
Vulnerability → manual analysis, CVE lookup
Discovery
↓
Exploitation → metasploit / manual
↓
Privilege → linpeas, SUID, sudo -l, capabilities, GTFOBins
Escalation
↓
Post Exploitation → flags, loot
```
## 🔍 靶机概要
### Katana
由 SunCSR Team 构建的适合初学者的 boot2root 靶机。在不同的端口上运行多个 Web 服务。初始访问是通过 CMS 管理面板的默认凭据(`admin:admin`)获得的,随后利用文件上传功能实现远程代码执行。通过 Python2.7 上的 Linux capabilities 错误配置实现权限提升。
- **端口:** 21 (FTP),22 (SSH),80 (HTTP),7080 (LiteSpeed),8088 (HTTP),8715 (HTTP)
- **漏洞利用:** CMS 管理面板默认凭据 → 恶意文件上传 → 反向 shell
- **提权:** `/usr/bin/python2.7` 上的 `cap_setuid+ep` → `os.setuid(0)` → root shell
### DC-1
一个专门构建的易受攻击实验室,旨在作为一个适合初学者的 boot2root 挑战。在 Apache 上运行 **Drupal 7**,可通过 Drupalgeddon2 进行漏洞利用。通过 `/usr/bin/find` 上配置不当的 SUID 权限实现权限提升。包含 5 个 flag,最终目标是读取 root 主目录中的 flag。
- **端口:** 22 (SSH),80 (HTTP - Drupal 7),111 (RPCBind)
- **漏洞利用:** Drupalgeddon2 (CVE-2018-7600)
- **提权:** 通过 GTFOBins 利用 `/usr/bin/find` 上的 SUID
### DC-2
DC-1 的续作,同样适合初学者。在 Apache 上运行 **WordPress**。需要使用 CeWL 生成自定义字典,使用 WPScan 暴力破解凭据,以 Tom 身份登录 SSH,通过 Vi 逃逸受限的 bash shell,切换到 Jerry,然后利用 sudo git 获取 root 权限。
- **端口:** 80 (HTTP - WordPress),7744 (SSH)
- **漏洞利用:** 使用 CeWL 字典通过 WPScan 暴力破解
- **提权:** 通过 Vi 进行 rbash 逃逸,通过 GTFOBins 利用 sudo git
## 📌 关于 PG Play
OffSec Proving Grounds Play 是 Offensive Security 提供的 **免费** 实验平台。所有靶机均来自 VulnHub 社区并托管在 OffSec 平台上——这意味着无需设置本地 VM,只需通过 VPN 接入即可进行黑客攻击。
- ✅ 免费套餐 — 每台靶机每天 3 小时
- ✅ 仅限 Linux
- ✅ 所有靶机与 VulnHub 原版一致
- ✅ OSCP 备考的理想选择
## 🛠️ 使用的工具
         
## 📁 每个靶机文件夹包含
- 包含命令和实际输出的完整笔记
- 每一步操作背后的推理过程
- 关键发现的截图
- 死胡同——哪些方法无效以及为什么
## 🗺️ 路线图
正在处理官方 OffSec PG Play 列表中的 32 台靶机(共 49 台——跳过了 12 台,因为它们与之前完成的靶机过于相似,排除了 5 台较新添加的靶机):
### ✅ 已完成 (3/32)
| 靶机 | 难度 | 关键技术 |
|---------|------------|----------------|
| [Katana](./KATANA) | Easy | 文件上传,Python capabilities |
| [DC-1](./DC-1) | Easy | Drupalgeddon2,SUID find |
| [DC-2](./DC-2) | Easy | WPScan,CeWL,rbash,sudo git |
### 🟢 阶段 1
| 靶机 | 难度 | 状态 | 关键焦点 |
|---------|------------|--------|-----------|
| Inclusiveness | Easy | ⏳ 待定 | LFI,FTP,user agent bypass |
| FunboxRookie | Easy | ⏳ 待定 | ZIP 破解,rbash 逃逸 |
| JISCTF | Easy | ⏳ 待定 | 文件上传绕过 |
| Gaara | Easy | ⏳ 待定 | 枚举,提权 |
| Geisha | Easy | ⏳ 待定 | Web 枚举 |
| NoName | Easy | ⏳ 待定 | Web 利用 |
| Wpwn | Easy | ⏳ 待定 | WordPress,提权链 |
| BBSCute | Easy | ⏳ 待定 | BBS 利用 |
| EvilBox-One | Easy | ⏳ 待定 | Web,链式技术 |
| Dawn | Easy | ⏳ 待定 | 服务利用 |
### 🟡 阶段 2
| 靶机 | 难度 | 状态 | 关键焦点 |
|---------|------------|--------|-----------|
| SoSimple | Intermediate | ⏳ 待定 | Social Warfare RCE |
| Tre | Intermediate | ⏳ 待定 | Adminer,cron job abuse |
| SunsetMidnight | Intermediate | ⏳ 待定 | MySQL 凭据滥用 |
| Born2Root | Intermediate | ⏳ 待定 | SSH key 利用 |
| Photographer | Intermediate | ⏳ 待定 | KOKEN CMS 利用 |
| Blogger1 | Intermediate | ⏳ 待定 | WordPress 利用 |
| Election1 | Intermediate | ⏳ 待定 | PHP 利用 |
| LemonSqueezy | Intermediate | ⏳ 待定 | WordPress,权限滥用 |
| PyExp | Intermediate | ⏳ 待定 | Python 利用 |
| My-CMSMS | Intermediate | ⏳ 待定 | CMS 利用 |
| OnSystemShellDredd | Intermediate | ⏳ 待定 | 高级利用 |
### 🔴 阶段 3 — Active Directory
| 靶机 | 难度 | 状态 | 关键焦点 |
|---------|------------|--------|-----------|
| DC-4 | Intermediate | ⏳ 待定 | 命令注入 |
| DC-6 | Intermediate | ⏳ 待定 | WordPress,高级提权 |
| DC-9 | Intermediate | ⏳ 待定 | SQLi,port knocking |
| Seppuku | Hard | ⏳ 待定 | 复杂链式利用 |
| Samurai | Hard | ⏳ 待定 | 高级技术 |
| ICMP | Hard | ⏳ 待定 | 网络,深度利用 |
| Potato | Hard | ⏳ 待定 | 高级提权 |
| GlasgowSmile | Hard | ⏳ 待定 | 高难度链式利用 |
| Dawn2 | Hard | ⏳ 待定 | 高级服务利用 |
| BTRSys2.1 | Intermediate | ⏳ 待定 | 多向量攻击 |
| BossPlayersCTF | Easy | ⏳ 待定 | CTF 技术 |
| SunsetDecoy | Intermediate | ⏳ 待定 | Hash 破解,chkrootkit |
| SunsetNoontide | Intermediate | ⏳ 待定 | Web 利用 |
| SunsetTwilight | Intermediate | ⏳ 待定 | 高级链式利用 |
| Covfefe | Intermediate | ⏳ 待定 | 服务利用 |
| HackerFest2019 | Intermediate | ⏳ 待定 | CTF 技术 |
| FunBox | Easy | ⏳ 待定 | WordPress,FTP |
| FunBoxEasy | Easy | ⏳ 待定 | 基础利用 |
| FunBoxEasyEnum | Easy | ⏳ 待定 | 以枚举为重点 |
## ⚠️ 免责声明
此处记录的所有靶机都是托管在 OffSec Proving Grounds Play 和 VulnHub 上的**故意设为易受攻击的系统**。
这些技术仅用于在隔离的实验环境中进行教育目的的实践。
切勿在未经明确授权的情况下测试系统。
*Adarsh Dubey · Cybersecurity Student*
标签:CISA项目, CMS漏洞, CSV导出, CTF实战, CTI, Drupal, GTFOBins, HTTP工具, LinPEAS, OSCP备考, rbash逃逸, SUID提权, VulnHub, Web报告查看器, Web渗透, WordPress, Writeup, 协议分析, 安全实战靶场, 实战笔记, 插件系统, 文件上传绕过, 权限提升, 漏洞分析, 网络安全, 网络安全审计, 能力配置提权, 路径探测, 隐私保护, 靶机解析, 默认口令