信息收集
主机探测
获取目标靶机IP192.168.88.132
sudo nmap -sn 192.168.88.0/24
初步扫描
sudo nmap -sT --min-rate 10000 -p- 192.168.88.132
目前知道2个端口开放22SSH,3128 squid-http,8080端口关闭
详细信息扫描
sudo nmap -sT -sC -sV -O -p 22,3128,8080 192.168.88.132
可知以下信息
22 OpenSSH 5.9p1 Debian 5ubuntu1.1 (Ubuntu Linux; protocol 2.0)
3128 http-proxy Squid http proxy 3.1.19
OS :Linux 3.X|4.X
漏洞脚本扫描
sudo nmap -sT --script=vuln -p 22,3128,8080 192.168.88.132
没有什么新的收获
UDP扫描
sudo nmap -sT --top-ports 20 192.168.88.132
没有什么有效信息
WEB指纹识别
直接访问无法访问到
尝试访问3128端口,发现有反应但是显示错误,查看网页源代码没有有效信息。
设置代理
成功访问到80端口,但是没有有效信息
尝试目录扫描
sudo dirb http://192.168.88.132 -p http://192.168.88.132:3128
发现了以下目录
+ http://192.168.88.132/cgi-bin/ (CODE:403|SIZE:290)
+ http://192.168.88.132/connect (CODE:200|SIZE:109)
+ http://192.168.88.132/index (CODE:200|SIZE:21)
+ http://192.168.88.132/index.php (CODE:200|SIZE:21)
+ http://192.168.88.132/robots (CODE:200|SIZE:45)
+ http://192.168.88.132/robots.txt (CODE:200|SIZE:45)
+ http://192.168.88.132/server-status (CODE:403|SIZE:295)
访问robot
疑似该靶机使用了wolfcms
成功访问wolfcms路径
http://192.168.88.132/wolfcms/
后台登录
寻找登录后台
第一次接触这个CMS,先必应查询一下
得知wolfcms存在文件上传漏洞,可能的后台登录地址是
http://192.168.88.132/wolfcms/?admin
成功访问后台界面,但是没有管理员密码,猜测doc文档里有默认的账户密码
获取登录账号密码
获取wolfcms的doc文档
发现默认账户密码admin admin
登录后台
成功登录后台
漏洞寻找与利用
漏洞发现
发现网站使用了PHP
发现文件上传,可能存在文件上传漏洞。
漏洞验证
上传webshell,成功上传,并且知道上传的目录,文件名,但是不知道web服务器能不能解析和能不能通过web访问这个文件。
web服务器能够解析,获得反弹shell
权限提升
通过反弹shell得到的用户权限比较低,没有sudo权限
查看操作系统版本,发现操作系统名字叫SickOs
查看/etc/passwd,发现有SickOs用户,并且可登录
尝试寻找config
在/var/www/wolfcms目录下找到config.php
查看内容,发现数据库账户密码
root
john@123
猜测可能是sickos的SSH登录密码
尝试ssh登录
成功登录到sickos账户
查看权限
发现拥有sudo权限,并且sudo执行ALL
直接sudo su切换到root,提权成功。
获取flag
总结
信息收集发现22,3128端口开放,并且3128端口是代理端口,需要用代理端口进行访问,目录扫描,发现是wolfcms以后利用wolfcms的文件上传漏洞获取反弹shell,寻找wolfcms的config获取数据库的登录账户和密码,利用这个密码和sickos的登录密码一样登录靶机,sickos拥有sudo的所有权限可直接切换到root用户。总的来说这个靶机关键是需要用代理,如果不知道的话就办法继续进行下去,以及猜测密码。