SickOS 1.1 靶机（方法二）--- 靶机训练

声明
B 站UP主泷羽sec

笔记的只是方便各位师傅学习知识，以下网站只涉及学习内容，其他的都与本人无关，切莫逾越法律红线，否则后果自负。

✍🏻作者简介：致力于网络安全领域，目前作为一名学习者，很荣幸成为一名分享者，最终目标是成为一名开拓者，很有趣也十分有意义
🤵‍♂️ 个人主页： @One_Blanks
欢迎评论 💬点赞👍🏻 收藏 📂加关注+

• 关注公众号：泷羽Sec-Blanks

X

带你去体验最真实的渗透环境，文章里不会直接摆答案，会全面的带你去进行信息收集以及漏洞利用，会领着你一步一步踩下我踩过的坑，实战往往比这更绝望，练技术须实践。

一、主机发现+信息收集

nmap -sn 192.168.25.0/24

export ip=192.168.25.134

nmap --min-rate 10000 -p- $ip

PORT     STATE  SERVICE
22/tcp   open   ssh
3128/tcp open   squid-http
8080/tcp closed http-proxy
MAC Address: 00:0C:29:C8:E0:D1 (VMware)

nmap -sT -sV -O -p22,3128,8080 $ip

PORT     STATE  SERVICE    VERSION
22/tcp   open   ssh        OpenSSH 5.9p1 Debian 5ubuntu1.1 (Ubuntu Linux; protocol 2.0)
3128/tcp open   http-proxy Squid http proxy 3.1.19
8080/tcp closed http-proxy
MAC Address: 00:0C:29:C8:E0:D1 (VMware)
Aggressive OS guesses: Linux 3.2 - 4.9 (95%), Linux 3.10 - 4.11 (92%), Linux 3.13 (91%), Linux 3.13 - 3.16 (91%), OpenWrt Chaos Calmer 15.05 (Linux 3.18) or Designated Driver (Linux 4.1 or 4.4) (91%), Linux 4.10 (91%), Android 5.0 - 6.0.1 (Linux 3.4) (91%), Linux 3.10 (91%), Linux 3.2 - 3.10 (91%), Linux 3.2 - 3.16 (91%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

nmap -sU --top-port 20 192.168.25.134

PORT      STATE         SERVICE
53/udp    open|filtered domain
67/udp    open|filtered dhcps
68/udp    open|filtered dhcpc
69/udp    open|filtered tftp
123/udp   open|filtered ntp
135/udp   open|filtered msrpc
137/udp   open|filtered netbios-ns
138/udp   open|filtered netbios-dgm
139/udp   open|filtered netbios-ssn
161/udp   open|filtered snmp
162/udp   open|filtered snmptrap
445/udp   open|filtered microsoft-ds
500/udp   open|filtered isakmp
514/udp   open|filtered syslog
520/udp   open|filtered route
631/udp   open|filtered ipp
1434/udp  open|filtered ms-sql-m
1900/udp  open|filtered upnp
4500/udp  open|filtered nat-t-ike
49152/udp open|filtered unknown

二、服务信息探查+目录探测（代理服务器的使用）

http://192.168.25.134:3128/

1. 代理服务器怎么用
2. http://192.168.25.134:3128/目录爆破

目录爆破啥都没有，那就去看代理服务器怎么使用

-p 参数 走http://192.168.25.134:3128/的代理去访问http://192.168.25.134

dirb http://192.168.25.134 -p http://192.168.25.134:3128/

---- Scanning URL: http://192.168.25.134/ ----
+ http://192.168.25.134/cgi-bin/ (CODE:403|SIZE:290)                                                   
+ http://192.168.25.134/connect (CODE:200|SIZE:362)                                                    
+ http://192.168.25.134/index (CODE:200|SIZE:21)                                                       
+ http://192.168.25.134/index.php (CODE:200|SIZE:21)                                                   
+ http://192.168.25.134/robots (CODE:200|SIZE:45)                                                      
+ http://192.168.25.134/robots.txt (CODE:200|SIZE:45)                                                  
+ http://192.168.25.134/server-status (CODE:403|SIZE:295)  

这些暴露出来的漏洞我们都可以再用漏扫工具去进行扫描

nikto 、 nmap

也可以通过代理服务器去访问80web端

三、Web服务页面访问

找/wolfcms，已经发现了目标使用的CMS

四、针对指定CMS进行渗透

当我们遇到一个CMS，我们首先想的就是管理路径能不能登录进去

也可以针对这个CMS，再进行目录爆破操作

dirb http://192.168.25.134/wolfcms -p http://192.168.25.134:3128/

---- Scanning URL: http://192.168.25.134/wolfcms/ ----
+ http://192.168.25.134/wolfcms/composer (CODE:200|SIZE:403)                                           
+ http://192.168.25.134/wolfcms/config (CODE:200|SIZE:0)                                               
==> DIRECTORY: http://192.168.25.134/wolfcms/docs/                                                     
+ http://192.168.25.134/wolfcms/favicon.ico (CODE:200|SIZE:894)                                        
+ http://192.168.25.134/wolfcms/index (CODE:200|SIZE:3975)                                             
+ http://192.168.25.134/wolfcms/index.php (CODE:200|SIZE:3975)                                         
==> DIRECTORY: http://192.168.25.134/wolfcms/public/                                                   
+ http://192.168.25.134/wolfcms/robots (CODE:200|SIZE:0)                                               
+ http://192.168.25.134/wolfcms/robots.txt (CODE:200|SIZE:0)                                           
                                                                   

找到文件泄露

http://192.168.25.134/wolfcms/public/

http://192.168.25.134/wolfcms/docs/

但是他的管理登录路径我们还没有发现，所以我们可以去网上搜索一下

五、初始权限（反弹Shell）

wolfcms admin path / wolfcms 管理员路径

http://192.168.25.134/wolfcms/?/admin/login

然后账号密码的话我们可以进行暴力破解或者搜索他的默认密码

这里随便输入 admin/admin 就进去了

当然我们可以去搜索引擎去搜默认密码,找不到就用弱密码字典去跑一下

可以发现页面中很多PHP代码

我们这里可以用PHP一句话代码到蚁剑、冰蝎里

也可以用php远程执行命令反弹bash的shell

这里我们用第二种

我们不知道哪个端口做了限制，因为这是黑盒，一般情况443比1234开的情况可能性更大，一个不行换另一个端口。

之后我们在Kali中建立监听

nc -nvlp 4444

然后我们再执行页面

点击页面的Archives就行了

六、本地提权

whoami

id

uname -a

ifconfig

lsb_release

ls -liah

cat config.php

define('DB_DSN', 'mysql:dbname=wolf;host=localhost;port=3306');
define('DB_USER', 'root');
define('DB_PASS', 'john@123');
define('TABLE_PREFIX', '');

出现密码，但这个是数据库的密码账户

但有没有可能也是ssh的密码

cat /etc/passwd

发现sickos用户

我们尝试ssh登录

ssh sickos@192.168.25.134

密码 john@123

成功登录

id

sudo -l

这里是三个ALL说明已经是Root用户了