阅读量:0
1.环境配置
下载地址: https://download.vulnhub.com/kioptrix/Kioptrix4_vmware.rar
下载完解压之后是一个vdmk文件,我们需要先创建一个新的虚拟机,将vdmk文件导入就行了
先移除原先硬盘,然后再进行添加,网络连接为Nat模式,靶机就是这个了
攻击机:kali(192.168.26.128)-Nat模式
2.渗透测试
信息收集
主机收集
nmap -sP 192.168.26.0/24
可以得知:靶机ip地址:192.168.26.134
扫描端口
nmap -sV -p- 192.168.26.134
得知开放了22、80、139、445端口,分别查询一下它们的服务
22端口: ssh 服务,传统的网络服务程序
80端口: HTTP(HyperText Transport Protocol,超文本传输协议)
139、445端口:提供Windows文件和打印机共享以及Unix中的Samba服务
查看更详细的信息:
nmap -nvv -Pn -sSV -p- --version-intensity 9 -A 192.168.26.134
漏洞收集
网上查找了ssh和samba的相关漏洞,但没有相应的版本可以进行利用,只能利用80端口了
由于靶机开放了80端口,因此我们可以在网站上直接进行访问,出现一个登录框
登录框出现的漏洞一般都是sql注入或者弱口令或者爆破
弱口令爆破不出来,我们用工具扫描看看出现什么漏洞
nikto -h 192.168.26.134
漏洞利用
成功查找到sql注入漏洞,抓包查看,直接用sqlmap一把梭
先把数据包放到1.txt文件中,再进行post注入
payload:
python sqlmap.py -r 1.txt --level 3 --risk 3 --dbs --batch
扫描结束,从结果看,并没有可以注入的地方,但是前面有一条可疑信息:
这边有一个提示,参数mypassword可能存在注入,数据库类型为MySQL。
接下来就对这个参数进行一些注入测试:
sqlmap -u "http://192.168.26.134/checklogin.php" --data="mypassword=root"sqlmap -u "http://192.168.26.134/checklogin.php" --data="mypassword=' or '1'='1"这边用第二条命令检测出了存在注入:
可以看到注入类型为布尔盲注。
接下来在sqlmap命令中加上 --dbs 跑出数据库名
sqlmap -u "http://192.168.26.134/checklogin.php" --data="mypassword=1" --dbs --batch
看到有个members的数据库,接下来-D members --dump 跑出数据库中的内容:
sqlmap -u "http://192.168.26.134/checklogin.php" --data="mypassword=1" -D members -dump --batch
可以看见有两个用户,这边用第一个用户进行登录
尝试进行登录,登录成功
可以看见就是一个成员控制面板,也不像之前的靶场有命令执行的输入框。但是我们这边已经拿到了用户名和密码
获得webshell
通过--os-shell选项直接获得webshell
获得普通用户shell
外尝试使用获得的用户名和密码通过ssh进行登录也成功获得普通用户shell,如图:
哎,这里又又又失败了,连接不上
找到解决办法了,细看此文:ssh 报错 no matching host key type found — 春之禾苗 (sysant.github.io)
ssh -o HostkeyAlgorithms=+ssh-rsa -o PubkeyAcceptedAlgorithms=+ssh-rsa username@xx.xx.xx.xx
突破SHELL限制并提权
给大家介绍一个突破shell限制的命令:echo os.system('/bin/bash')
echo是一个把字符串输出到终端上的命令。 本来是被限制了的shell,如果运行别的命令,就会不予执行。本来你关在牢房里,活动空间不过几平米。然而运行这条命令,就相当于把锁打开。echo相当于我们的中间人,它返回了bash shell。当然这条命令能够逃逸限制,也得益于该Lshell是由python所写,且可用调用python中os模块的system方法来执行系统命令导致的。
然后sudo su 输入john用户的密码MyNameIsJohn:未能获取到root权限,换个方法
查看内核版本,如图
显然可以使用脏牛提权,尝试上传文件发现无法外连80端口,但是可以外连443端口,且该shell无法执行二进制文件,不存在gcc,因此无法通过内核提权。
我们先用 ps aux | grep root 命令看下哪些进程具有管理员权限:
可以看到这边mysql拥有管理员权限,接下来就是去找到mysql的用户名、密码,然后连接mysql,再利用mysql提权。
由于这个网站架构是LAMP,我们cd 进 /var/www 看看mysql那里有没有突破口:
可以看到有很多php文件,我们随便查看一个:
可以在checklogin.php中看到mysql的用户名为root,密码为空。
先用mysql -u root -p 登录mysql:
用mysql进行提权,比较出名的就是MySQL UDF提权执行系统命令,下面先查询下UDF表:
发现有sys_exec函数,可以利用这个函数执行系统命令。
接下来就是通过sys_exec函数将john添加到管理员组:
退出mysql查看john用户权限:
总结
前面的知识点都跟之前题目差不多,后面出现了sql注入的利用,sqlmap工具的使用,以及获得webshell,在获得webshell之后的提权(数据库UDF提权),以及一些linux的常用命令
