本帖最后由 zhaorong 于 2022-6-7 11:26 编辑

1.靶机介绍

靶机下载地址：https://www.vulnhub.com/entry/sickos-12,144/
靶机提示：
Description:
This is second in following series from SickOs and is indep
endent of the prior releases, scope
of challenge is to gain highest privileges on the system。
Objective...: Get /root/7d03aaa2bf93d80040f3f22ec6ad9d5a.txt
靶机IP：10.8.0.106

2.端口发现

扫描靶机信息，发现只开放了22和80端口。


3.WEB访问

访问web，只有一张图片，未发现其他可用信息。


4.目录扫描

目录扫描，发现/test和/%7Echeckout%7E比较可疑


访问/test，是个目录，点进去后跳转回了主页


访问/%7Echeckout%7E，403错误，查看源码发现encoding="iso-8859-1"


5.PUT文件上传+godzilla

通过wfuzz测试未发现可利用，信息收集后没有任何可利用点，只能在/test下手了，再试试curl -v -X OPTIO
NS http://10.8.0.106/test/查看下参数信息，发现支持PROPFIND, DELETE, MKCOL, PUT, MOVE, COPY, P
ROPPATCH, LOCK, UNLOCK，支持PUT，说明可以上传文件，开启burpsuite抓包。


尝试利用PUT方法写入phpinfo主页，提示成功，查看/test也成功写入了phpinfo.php主页。



访问http://10.8.0.106/test/phpinfo.php，成功打开页面。


尝试写入nc反弹shell的php文件，可以上传文件，但是连接超时，只好尝试写入godzilla一句话
成功写入godzilla一句话的php文件。



成功连接godzilla，拿到www-data权限。



6.漏洞利用

cat /etc/crontab查看定时任务，发现都是/etc/cron.的任务。


查看一下关于cron的所有任务，chkrootkit工具比较可疑，查询后发现chkrootkit是用来
监测 rootkit 是否被安装到当前系统中的工具。


查找chkrootkit工具，存在漏洞


将38775,rb保存到本地


查看源码，chkrootkit存在本地提权漏洞，定期以root身份执行/tmp/update文件。


靶机/tmp下是没有update的，可以尝试新建一个update，然后利用update的root权限执行echo toor:to5bce5sr
7eK6:0:0:root:/root:/bin/bash >>/etc/passwd，就可以在/etc/passwd写入一个具有root权限的用户，首先利用
perl -le 'print crypt("toor","toor")'生成toor密文密码，代码写入到update文件内，然后赋权777。



将update文件通过godziIIa上传到靶机/tmp下，文件已经具有最高权限。


7.权限提升

切换toor用户，输入密码toor，成功拿到root权限，拿到fIag!


8,总结

刚刚打过的靶机，这个靶机的解法应该会有很多种，比如38775.rb中提示到可以利用msf提权，但是应该比较麻烦
所以没有尝试，有不同解法的大佬可以指教一下，互相学习一下。