本帖最后由 zhaorong 于 2022-6-7 11:26 编辑
1.靶机介绍
靶机下载地址:https://www.vulnhub.com/entry/sickos-12,144/
靶机提示:
Description:
This is second in following series from SickOs and is indep
endent of the prior releases, scope
of challenge is to gain highest privileges on the system。
Objective...: Get /root/7d03aaa2bf93d80040f3f22ec6ad9d5a.txt
靶机IP:10.8.0.106
2.端口发现
扫描靶机信息,发现只开放了22和80端口。
3.WEB访问
访问web,只有一张图片,未发现其他可用信息。
4.目录扫描
目录扫描,发现/test和/%7Echeckout%7E比较可疑
访问/test,是个目录,点进去后跳转回了主页
访问/%7Echeckout%7E,403错误,查看源码发现encoding="iso-8859-1"
5.PUT文件上传+godzilla
通过wfuzz测试未发现可利用,信息收集后没有任何可利用点,只能在/test下手了,再试试curl -v -X OPTIO
NS http://10.8.0.106/test/查看下参数信息,发现支持PROPFIND, DELETE, MKCOL, PUT, MOVE, COPY, P
ROPPATCH, LOCK, UNLOCK,支持PUT,说明可以上传文件,开启burpsuite抓包。
尝试利用PUT方法写入phpinfo主页,提示成功,查看/test也成功写入了phpinfo.php主页。
访问http://10.8.0.106/test/phpinfo.php,成功打开页面。
尝试写入nc反弹shell的php文件,可以上传文件,但是连接超时,只好尝试写入godzilla一句话
成功写入godzilla一句话的php文件。
成功连接godzilla,拿到www-data权限。
6.漏洞利用
cat /etc/crontab查看定时任务,发现都是/etc/cron.的任务。
查看一下关于cron的所有任务,chkrootkit工具比较可疑,查询后发现chkrootkit是用来
监测 rootkit 是否被安装到当前系统中的工具。
查找chkrootkit工具,存在漏洞
将38775,rb保存到本地
查看源码,chkrootkit存在本地提权漏洞,定期以root身份执行/tmp/update文件。
靶机/tmp下是没有update的,可以尝试新建一个update,然后利用update的root权限执行echo toor:to5bce5sr
7eK6:0:0:root:/root:/bin/bash >>/etc/passwd,就可以在/etc/passwd写入一个具有root权限的用户,首先利用
perl -le 'print crypt("toor","toor")'生成toor密文密码,代码写入到update文件内,然后赋权777。
将update文件通过godziIIa上传到靶机/tmp下,文件已经具有最高权限。
7.权限提升
切换toor用户,输入密码toor,成功拿到root权限,拿到fIag!
8,总结
刚刚打过的靶机,这个靶机的解法应该会有很多种,比如38775.rb中提示到可以利用msf提权,但是应该比较麻烦
所以没有尝试,有不同解法的大佬可以指教一下,互相学习一下。 |