Sickos1.1 详细靶机思路 实操笔记
Sickos1.1 详细靶机思路实操笔记免责声明
本博客提供的全部信息仅供学习和研究目的,旨在进步读者的网络安全意识和技术能力。请在合法合规的条件下利用本文中提供的任何技术、方法或工具。如果您选择利用本博客中的任何信息举行非法活动,您将独自承担全部法律责任。本博客明确表示不支持、不鼓励也不参与任何情势的非法活动。
前言
这台靶机比较简单,有一定经验的师傅们发起可以直接盲打,如果遇到走不通的话再看网上的各种分享,主要可能想不到的点在squid代理服务,通过查询相关资料能得知我们通过配置代理就能突破这个点
下载靶机
靶机链接SickOs: 1.1 ~ VulnHub下来后导入到vmware里面
右键vm靶机栏 打开靶机的.ovf文件
https://img2024.cnblogs.com/blog/3409507/202411/3409507-20241123114533867-2018901021.png
Nmap信息网络
主机发现:
sudo nmap -sn 192.168.236.128/24开启靶机后能找到133这台呆板,就是我们要打的靶机
TCP扫描
sudo nmap -sT --min-rate 10000 -p- -oA sickok_ports 192.168.236.133https://img2024.cnblogs.com/blog/3409507/202411/3409507-20241123114542944-1914588781.png
拿到了这三个端口22,3128,8080对应的端口分别为sshsquid-http http-proxy
详细端口扫描
nmap -sT --min-rate 10000 -p 22,3128,8080 -O -sV -sC -oA sickos_detail 192.168.236.133https://img2024.cnblogs.com/blog/3409507/202411/3409507-20241123114550072-920139926.png
给出了更详细的信息,如服务版本号,主机型号等
nmap默认漏洞脚本扫描
nmap --script=vuln -oA sickos_script p22,8080,3128 192.168.236.133https://img2024.cnblogs.com/blog/3409507/202411/3409507-20241123114557035-1531411965.png
没有什么发现,nmap没有给出利用路径
web渗透
攻击面分析
我们知道了3128开放的是一个squid代理服务,版本为3.1.19,如下直接访问没有给什么东西
https://img2024.cnblogs.com/blog/3409507/202411/3409507-20241123114605741-1833205850.png
8080端口关闭,是一个http-proxy可能是什么代理之类的服务,直接去访问是拒绝连接
22端口ssh长途连接我们可以尝试去空密码连接,但可能性不大,如果在我们去寻找凭据实在走不下去了可以去尝试一下
squid代理
先去搜索一下squid服务
Squid代理服务器
Squid主要提供缓存加速、应用层过滤控制、web服务隐藏真实IP(安全性)的功能。
1、代理的工作机制
取代客户机向网站哀求数据,从而可以隐藏用户的真实IP地点。
将获得的网页数据(静态 Web 元素)保存到缓存中并发送给客户机,以便下次哀求雷同的数据时快速响应。
2、代理的范例
传统代理:
适用于Internet,需在客户机指定代理服务器的地点和端口。
透明代理:
客户机不需指定代理服务器的地点和端口,而是通过默认路由、防火墙策略将Web访问重定向给代理服务器处理。
反向代理:
如果 Squid 反向代理服务器中缓存了该哀求的资源,则将该哀求的资源直接返回给客户端;否则反向代理服务器将向背景的 WEB 服务器哀求资源,然后将哀求的应答返回给客户端,同时也将该应答缓存(静态)在当地,供下一个哀求者利用。
靶机的squid跑在3128端口上,应该指定的代理服务器端口就为3128,在浏览器上设置一下proxy
https://img2024.cnblogs.com/blog/3409507/202411/3409507-20241123114613098-529184508.png
设置好后发现直接访问靶机ip可以通,给了一个BLEHHH!!!这是一个俚语
https://img2024.cnblogs.com/blog/3409507/202411/3409507-20241123114623042-11848584.png
既然可以通那就爆破一下目次吧
指定一下代理
dirb http://192.168.236.133/ -p http://192.168.236.133:3128/https://img2024.cnblogs.com/blog/3409507/202411/3409507-20241123114637341-658743326.png
+ http://192.168.236.133/cgi-bin/ (CODE:403|SIZE:291)
+ http://192.168.236.133/connect (CODE:200|SIZE:109)
+ http://192.168.236.133/index (CODE:200|SIZE:21)
+ http://192.168.236.133/index.php (CODE:200|SIZE:21)
+ http://192.168.236.133/robots (CODE:200|SIZE:45)
+ http://192.168.236.133/robots.txt (CODE:200|SIZE:45)
+ http://192.168.236.133/server-status (CODE:403|SIZE:296)先访问最感兴趣的index.php
实在就是之前的BLEHHHH!!
其他的目次扫了一眼,/connect里面是一个脚本,没什么用大概就是说你可能想要尝试(利用)我的服务
/server-status 403forbidden无法访问
#!/usr/bin/python
print("I Try to connect things very frequently")
print("You may want to try my services")robots.txt :
https://img2024.cnblogs.com/blog/3409507/202411/3409507-20241123114649747-1195912403.png
给了一个Dissalow:/wolfcms,尝试一下访问这个路由,尝试访问发现真的有
https://img2024.cnblogs.com/blog/3409507/202411/3409507-20241123114654684-1182468691.png
点了一圈没有什么发现,网页都是一些静态资源,去网上搜索一下wolfcms有没有什么框架漏洞
Wolf CMS - Arbitrary File Upload / Execution - PHP webapps Exploit
这里发现一个长得很像登陆界面的url
https://img2024.cnblogs.com/blog/3409507/202411/3409507-20241123114702205-269121005.png
http://targetsite.com/wolfcms/?/admin/plugin/file_manager/browse/确实跳转到了一个登录页
https://img2024.cnblogs.com/blog/3409507/202411/3409507-20241123114709385-293052887.png
弱密码U/P:admin admin进入wolfcms的背景
https://img2024.cnblogs.com/blog/3409507/202411/3409507-20241123114720121-1276733372.png
反向连接shell
在登录wolfcms背景之后随便点点,发现有很多代码执行和文件上传的位置,比如Home Page里面就可以填写php代码
在Articles中嵌入
页:
[1]