网站发展趋势班级优化大师学生版

一、前情提要

二、实战打靶

1. 信息收集

1.1. 主机发现

1.2. 端口扫描

1.3 目录爆破

1.4. 敏感信息

2.根据服务搜索漏洞

2.1. 搜索exp

2.2. 编译exp

2.3. 查看exp使用方法，并利用

3. 提权

二、第二种方法

---

一、前情提要

• Kioptrix Level是免费靶场，可以自己百度下载。

• 开始前要先将靶机设置和kali同一个网络模式，我这里设置的是NAT。

• 接下来的靶机用kali进行演示。

二、实战打靶

这个靶机练习，相当于内网渗透。

1. 信息收集

1.1. 主机发现

在同一局域网下的主机发现思路：

• 通过ifconfig或ip add的方式查看当前主机的网段

• 利用nmap对扫描对应子网内的所有主机在线情况

执行完命令可以发现，该网段除了我们的kali还有一台128的主机在线。

(PS:在虚拟网络下1和2这两个ip分别对应的是网卡和网关。)

1.2. 端口扫描

还是利用nmap进行端口扫描并探测端口服务的版本。

• 命令：nmap -sT -sV - -O --min-rate 10000 -p- 192.168.150.128

  • -sT：以TCP三次握手的形式进行扫描

  • -sV：扫描各服务的版本

  • -O：扫描目标机器的操作系统

  • --min-rate：最少的发包数量

  • -p-：全端口扫描

本次扫描的结果：

PORT     STATE SERVICE     VERSION
22/tcp   open  ssh         OpenSSH 2.9p2 (protocol 1.99)
80/tcp   open  http        Apache httpd 1.3.20 ((Unix)  (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b)
111/tcp  open  rpcbind     2 (RPC #100000)
139/tcp  open  netbios-ssn Samba smbd (workgroup: MYGROUP)
443/tcp  open  ssl/https   Apache/1.3.20 (Unix)  (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b
1024/tcp open  status      1 (RPC #100024)
​
MAC Address: 00:0C:29:61:D8:1A (VMware)
Device type: general purpose
Running: Linux 2.4.X
OS CPE: cpe:/o:linux:linux_kernel:2.4
OS details: Linux 2.4.9 - 2.4.18 (likely embedded)
Network Distance: 1 hop

1.3 目录爆破

通过dirb和dirsearch工具进行爆破，查看目录基本都是一些手册，有部分存在版本信息，看着版本号都比较老，这边我就不放图片了,版本较老的框架基本都有漏洞。

1.4. 敏感信息

这个是根据端口探测、手工、目录爆破信息收集来的。

OpenSSH 2.9p2
Apache httpd 1.3.20
mod_ssl/2.8.4 
OpenSSL/0.9.6b
Linux 2.4.9

2.根据服务搜索漏洞

2.1. 搜索exp

发现mod_ssl存在/remtoe(远程控制)，根据namp探测出来的mod_ssl版本是刚好低于2.8.7的，将exp复制出来。

80/tcp   open  http       Apache httpd 1.3.20 ((Unix)  (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b)

• 命令：

  • searchsploit mod ssl

  • searchsploit -m unix/remote/47080.c

2.2. 编译exp

在编译的时候有报错加上-lcrypto参数指定openssl进行编译，红色的是报错、蓝色的是警告，我们可以忽略警告

gcc -o 47080 47080.c -lcrypto

2.3. 查看exp使用方法，并利用

grep筛选出1.3.20的apache版本，索引是x06b

./47080 | grep 1.3.20

3. 提权

进去后发现，执行远程控制脚本发现，他本身就尝试了提权，不过文件下载失败了。

我们在kali本地下载，然后开启本地下载，传输到靶机上

然后按照47080exp本身的权限提升命令，成功获取root权限。

二、第二种方法

在前面的端口发现开启了smb139端口，我们可以尝试对它进行利用，但是

139/tcp  open  netbios-ssn Samba smbd (workgroup: MYGROUP)

我们尝试对smb版本进行识别用到了多种方式

enum4linux -S -U 192.168.150.128nmap -sV 192.168.150.128 -p 139msfconsoleuse auxiliary/scanner/smb/smb_versionset RHOSTS <target_ip>run

但是msf在oscp考试中只能用一次，其他方式多试了效果不好，这里还是用msfconsole的模块出的结果

查询exp，拉取编译。

查看需要的参数执行exp，成功root