环境搭建
攻击机: kali
靶机:sickOS1.1
信息收集
服务器信息收集:
主机ip发现
nmap -sn 192.168.241.0/24
扫描结果如下:
服务器ip为:192.168.241.150
扫描主机开放的端口
nmap --min-rate 10000 -p- 192.168.241.150
扫描主机开放的端口详细信息
nmap -sT -sV -O -p22,3128,8080 192.168.241.150
nmap进行漏洞探测
nmap --script=vuln -p22,3128,8080 192.168.241.150
总结:
从服务器信息收集看 这台靶机的ip为192.168.241.150 ,服务器开放了22,3128、8080
使用nmap扫描漏洞也么什么发现,。对于开放的端口我们优先8080和3128
web 信息收集
从主机探测到的服务看8080 是web 服务,而squid-http 是个代理,
访问http://192.168.47.157:3128, 页面爆出squid及其版本号3.1.19, 通过搜索引擎得知, squid是一个代理服务器和Web缓存服务器, 主要用于Unix一类系统使用
使用dirsearch对代理服务器http://192.168.47.157:3128进行爆破, 没有结果
既然192.168.47.157:3128是一个代理服务器, 那就尝试用它来作为目录爆破工具的代理参数来对http://192.168.47.157进行扫描, 扫描结果如下图所示
发现robots.txt 访问查看:
很幸运发现wolfcms目录,访问查看,发现类似博客的 既然是博客网站, 那么肯定有编辑文章的接口, 通常要使用此接口需要网站管理员权限, 那么接下来就要找到网站的后台地址,而且页面中发现是wolfcms 版本为0.8.2
kali 使用searchploit搜索wolfcms 框架
下载读取改文件
尝试访问成功如下图:
通过搜素引擎搜索wolfcms 后台管理登陆的默认账号密码
尝试访问失败、试试弱口令admin admin 登录成功
访问页面查看发现home[page、articles、RSS Feed、footer等都是可写的php 页面,直接反弹shell
``
``
写入,保存,监听,访问,一气呵成。获得shell。
提权:
通过阅读web目录下的文件,发现了数据库连接文件,发现到一个密码
登录到mysql,并没有发什么有用的信息。那这个密码还有没有其他的用处呢。这里看一下系统有哪些用户。
发现/etc/passwd 文件可以读取,,通过这是账号和发现的密码匹配进行爆破
爆破成功 登录sickos ,发现可以通过sudo 提权