Vulnhub-SickOS-2

靶机清单之一。
靶机下载链接

信息收集

主机探测之后,会发现有个test目录。里面没有任何东西。

但是如果发送options标志,会得到所有允许的请求方式。

如果有PUT方式的话,我们可以使用nmap的脚本上传文件。

1
nmap -p 80 192.168.56.146 --script http-put --script-args http-put.url='/test/shell.php',http-put.file='/data/yjh.php'

原本上传了php反向shell的,但是死活弹不回来,最后还是写了个一句话连接上去了。

连接上去后,进行信息枚举的时候查看/etc/rc.local文件发现是有过滤端口出站入站规则的。。但是我们不知道过滤规则是什么。

只能一个个常见端口测试,最后测出443可以弹。


弹回shell之后进行信息枚举......

提权

再查看每日任务的时候,发现还有一个chkrootkit

chkrootkit曾经有一个版本是有漏洞的。CVE-2014-0476


完美符合版本。

查阅漏洞说明,chkrootkit会执行/tmp/update下面的命令,但是chkrootkit通常又会以root身份运行。/tmp下的文件又可以被随意创建,所以能够提权。

将/bin/bash添加为suid位文件。

总结

如果反弹shell弹不回来要考虑是不是目标服务器防火墙的问题,这次的这个靶机还有防火墙过滤规则,我之前是从来没有遇到过的(靶机打的少。

还有OPTIONS这个标志,能被查看所有的请求方式。

1
curl http://192.168.56.146/test/ -X OPTIONS -v

如果是PUT的话则可能可以上传文件。

1
nmap -p {web-port} {ip} --script http-put --script-args http-put.url='{target_upload_path/upload_file}',http-put.file='{locate_file}'