簡介
這個靶機真是太簡單了,簡直就是白給啊,實在沒得說。
信息收集
使用fping -agq 192.168.204.0/24探測局域網內其它主機,發現存在其它3臺主機,如圖:
使用nmap --min-rate 10000 -T5 192.168.0.102 192.168.0.100 192.168.0.126快速掃描這三臺主機,發現只有一臺是VMware,且開啓了22,80,111,139,443和1024端口,如圖:
然後再次使用nmap進行詳細掃描,發現使用OpenSSH 2.9p2版本,協議版本爲1.99,Apache版本爲1.3.20,操作系統爲Red-Hat,內核版本可能爲2.4.X,如圖:
訪問80端口的Web服務,發現是Apache Web Server的測試頁面,如圖:
使用dirbuster掃描網站目錄發現存在可訪問的test.php文件,如圖:
訪問之後發現直接輸出php源碼,如圖:
使用dirb掃描網站備份文件沒有任何收穫。
漏洞發現及利用
使用搜索引擎搜索各服務版本存在的已知漏洞,發現Apache 1.3.20畸形路徑名導致信息泄露漏洞(CVE-2007-0275),然而該靶機並不存在此漏洞,此外還發現Apache mod_ssl OpenSSL <0.9.6d / <0.9.7-beta2-'openssl-too-open.c'SSL2 KEY_ARG溢出、Apache mod_ssl <2.8.7 OpenSSL-'OpenFuck.c'遠程緩衝區溢出和Apache mod_ssl <2.8.7 OpenSSL-'OpenFuckV2.c'遠程緩衝區溢出漏洞。OpenSSH服務存在OpenSSH 2.x / 3.x-Kerberos 4 TGT / AFS令牌緩衝區溢出漏洞。
編譯Apache漏洞exp的時候總是報錯,最煩的就是調代碼了,好在天無絕人之路,在多次Google搜索後發現有修改的可利用代碼,成功編譯之後執行腳本,發現支持的偏移地址中沒有RedHat 2.4.X,但是有Apache 1.3.20,如圖:
嘗試使用偏移地址0x6a驗證漏洞失敗,使用0x6b驗證成功,居然獲得的是root權限的shell,如圖:
嘗試檢測OpenSSH 2.x / 3.x-Kerberos 4 TGT / AFS令牌緩衝區溢出,漏洞利用程序編譯失敗。
總結
沒想到這個靶機直接用已知的漏洞可以直接獲取root權限的shell,只是編譯exp時很麻煩。