发现靶机

备战OSCP_SickOS_1 - 图1

信息收集

端口
备战OSCP_SickOS_1 - 图2
显示3128是个http代理

渗透测试

打开发现啥也没有,但是显示出了squid3.1.19
备战OSCP_SickOS_1 - 图3
配置代理
备战OSCP_SickOS_1 - 图4
发现80有东西
备战OSCP_SickOS_1 - 图5
挂上代理扫目录
备战OSCP_SickOS_1 - 图6
robots.txt发现个cms
备战OSCP_SickOS_1 - 图7
后台
备战OSCP_SickOS_1 - 图8
…….. admin/admin直接进去,醉了
直接写了个phpinfo
备战OSCP_SickOS_1 - 图9
通过看ico图片可以找到真实的路径,当然了,也可以试出来
备战OSCP_SickOS_1 - 图10
备战OSCP_SickOS_1 - 图11
找到了刚刚写的phpinfo,没想到这么简单
备战OSCP_SickOS_1 - 图12
备战OSCP_SickOS_1 - 图13
反弹shell
备战OSCP_SickOS_1 - 图14
备战OSCP_SickOS_1 - 图15
备战OSCP_SickOS_1 - 图16
备战OSCP_SickOS_1 - 图17

权限提升

老方法
备战OSCP_SickOS_1 - 图18
内核提权失败,换LinEnum试试
备战OSCP_SickOS_1 - 图19
备战OSCP_SickOS_1 - 图20
备战OSCP_SickOS_1 - 图21
看一下history,显示没权限,然后看看web目录发现有个config
备战OSCP_SickOS_1 - 图22
使用数据库的密码和passwd里的sickos账户进去了
备战OSCP_SickOS_1 - 图23
然后再看下history发现可以sudo,就成功进到了root
备战OSCP_SickOS_1 - 图24