Vulnhub-Kioptrix-2

这是群里大佬推荐我做的靶机之一。

这个靶机的作者说有多种方式可以拿到shell。

信息收集

nmap扫描

  • 22 ssh
  • 80 http-apache 2.0.52
  • 111 rbcbind
  • 443 ssl/https
  • 631 ipp(这啥没见过啊)
  • 658 rbc
  • 3306 mysql

漏洞利用

先浏览了一下网站,一上来就是一个登录框

直接尝试绕过登录

1
' or 1=1 --

结果成功绕过:)

登录进来后,发现是这么一个框

看起来存在命令执行漏洞,试着看能不能执行一个whoami。

成功,好像没什么过滤的。尝试写一句话,但是不成功。因为apache用户没有对www目录写的权限:(
最后成功把nc反弹shell的脚本下载到/tmp,执行后得到apache权限的shell。

进入目标主机后,我进行了一些信息枚举(suid,其他用户能不能越权登录等等。不过好像没有什么发现,想到这个靶机的Level-1是通过内核漏洞提权的。我想这个有可能也存在内核漏洞。

搜索离线exploit库,看能不能找到什么。

这里先查看了9542这个编号的漏洞利用(漏洞编号CVE-2009-2698),发现完美符合要求,应该能用吧。

下载源码后,编译运行。直接拿到root权限。

分享另外一种拿webshell的方法

思路和我上面getshell一样,不过区别在于。这个是用php执行的,我上面的方法是bash执行的。

  1. 下载php-reverse-shell,然后上传到目标服务器的/tmp目录下
  2. 命令执行,执行这个命令 php /tmp/php-reverse-sehll(不要忘记先开启监听哦

总结

内核漏洞真好利用,不过应该还有其他的方式getshell。但是我没实现,另外网站首页的登录页面也可以sqlmap跑出密码。