靶机地址:https://www.vulnhub.com/entry/sickos-11,132/
靶机难度:中级(CTF)
靶机描述:这个CTF明确地比喻了如何在网络上执行黑客策略,以在安全的环境中危害网络。 这个虚拟机与我在OSCP中遇到的实验室非常相似。 目的是破坏网络/计算机并在其上获得管理/根目录特权。
目标:得到root权限&找到flag.txt
作者:嗯嗯呐
信息收集
Nmap 扫描靶机端口
nmap扫描靶机端口
22 SSH
3128 代理
8080 HTTP 不能访问
根据提示设置代理,访问80端口
没有获得有用的信息,试着访问robots.txt文件看看
发现一个目录,访问发现一个wolfcms架构的界面
Wolf CMS 是一款PHP编写的轻量级CMS程序,支持Mysql/SQLite/PostgreSQL三种数据库类型。
访问目录/?admin,获得登陆界面,/?admin是一个wolfcms架构默认登陆界面,百度即可查到
使用admin猜了一下,就登陆成功了
getshell
根据wolf cms版本查询发现一个任意文件上传漏洞
使用weevely生成一个php木马
上马
上传成功,使用发现a.php路径,访问以下看看
根据提示,成功得到文件绝对路径
使用weevely连接木马,因为url需要代理才可以访问,这里需要现在环境变量中配置代理
unset http_proxy #删除代理
获得shell
提权
查看linux版本,是否可以内核提权
应该可以,找一个看看,试了半天无法提权,应该是打补丁了,之后在config文件发现mysql账号密码尝试连接
mysql连接不上去,sudo无权限,缓冲区溢出也没有可利用程序
只能看一下passwd文件,找到可以登录的用户,使用上面获得mysql密码爆破一下
hydya爆破,获得sickos密码
登录成功,具有sudo权限
执行sudo -s 获得root权限,获得flag
完成!!!
利用shellshock获得shell
我在资料上找到了其他的方法获得shell,这里也试一下,顺便记录一下
nikto扫描网页
nikto -host 192.168.16.130 -useproxy http://192.168.16.130:3128
-useproxy 配置代理服务
发现在/cgi-bin/status可以利用CVE-2014-6271漏洞(破壳漏洞)
因为访问url需要代理,首选在burpsuite配置,
在upstream proxy servers配置代理的端口,ip等信息
在proxy中的options配置浏览器抓住使用的代理
浏览器使用127.0.0.1 8080 代理访问url,就可以抓到数据包啦
测试发现靶机对user-agent参数处理,使用参数利用shellshock漏洞
这个漏洞在上一篇文章中详细将了,就是系统对() { :;};误处理为环境变量,导致拼接的命令被执行,这里反弹6666端口到攻击者机器,获得shell
Ok 此靶机结束!!!
总结
此靶机利用的较为简单,思路也比较明确,但是我还是个参考其他人菜鸡,上面只是一种思路,仅供参考。本章渗透思路如下图: