2019-01-16-Vulnhub渗透测试实战writeup(14)

Kioptrix 3
nmap结果如下：

# Nmap 7.40 scan initiated Tue Jan 15 20:57:16 2019 as: nmap -A -sV -p- -Pn -oN test.xml 192.168.110.140
Nmap scan report for 192.168.110.140
Host is up (0.0013s latency).
Not shown: 65533 closed ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 4.7p1 Debian 8ubuntu1.2 (protocol 2.0)
| ssh-hostkey: 
|   1024 30:e3:f6:dc:2e:22:5d:17:ac:46:02:39:ad:71:cb:49 (DSA)
|_  2048 9a:82:e6:96:e4:7e:d6:a6:d7:45:44:cb:19:aa:ec:dd (RSA)
80/tcp open  http    Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.6 with Suhosin-Patch)
|_http-server-header: Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.6 with Suhosin-Patch
|_http-title: Ligoat Security - Got Goat? Security ...
MAC Address: 00:0C:29:98:73:BA (VMware)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.9 - 2.6.33
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
TRACEROUTE
HOP RTT     ADDRESS
1   1.25 ms 192.168.110.140
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Tue Jan 15 20:57:56 2019 -- 1 IP address (1 host up) scanned in 40.40 seconds
![Selection_001.jpg](https://upload-images.jianshu.io/upload_images/10153763-1fcac013e023550b.jpg?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

dirb结果如下：

http://192.168.110.140/data (CODE:403|SIZE:326)
http://192.168.110.140/favicon.ico (CODE:200|SIZE:23126)
http://192.168.110.140/index.php (CODE:200|SIZE:1819)
http://192.168.110.140/phpmyadmin/libraries (CODE:403|SIZE:342)
http://192.168.110.140/phpmyadmin/phpinfo.php (CODE:200|SIZE:0)
http://192.168.110.140/phpmyadmin/favicon.ico (CODE:200|SIZE:18902)
http://192.168.110.140/phpmyadmin/index.php (CODE:200|SIZE:8136)//登陆界面

主机漏洞方面直接searchsploit没发现啥大漏洞。
dirb扫出了后台的phpmyadmin登录界面。
主要要从web方面入手！但是找一圈没看出啥漏洞，最后看了看cms,直接searchsploit一波试试

p1

看到有一个远程php代码执行的，那就直接msfconsole试试

p2

一个excellent模块，后面就是设置各种options,然后反弹shell成功了。

p3

然后getshell后一波查找配置文件，但是都没找到啥有用的，给出的账号密码都没啥用。

p4

发现两个关键用户loneferret以及dreg.
这一步卡了许久，dirtycow没有执行权限。。。配置文件没啥用，后来看了walkthrough后发现是有hint在里面的，有一个readme...

p5

p6

提示说可以用一个ht编辑器来编辑，而且具有sudo执行权限

p7

看到这里很明显了，就是要你执行suid提权了.
但是这里metasploit反弹的shell无法执行sudo ht,一直没反应，所以看了walkthrough如何解决。
大佬们是在首页爆破出了http://192.168.110.140/gallery目录，然后在/gallery/gallery.php?id=1&sort=filename这里的id和sort找到sql注入点，然后直接注入出两个用户名和密码，如下：

p8

然后这两个都可以用来ssh登录。但是第一个权限很低，连cd命令都无法执行，第二个账号权限还行，可以直接执行sudo ht,会跳出一个蓝色窗口。。。然后大佬们的思路是利用这个万能编辑器，来直接执行对/etc/passwd的修改或者是/etc/sudoers的修改。。。这思路牛逼

p9

p10

这样就可以直接把该权限用户提升了，牛逼，发现uuid提权是真的很骚操作，做加固的时候一定要非常注意这一点。。。

p10

最后上一张flag.txt图片

p11

思路总结：
1.主机漏洞，中间件漏洞，web漏洞应该要三点找全，有时候一个走不下去就要走下一步
2.好的密码字典难求啊，这是真心话。。。。walkthrough上面老是有人直接爆破openssh密码成功的，无话可港。。。
3.这次主要是从sql注入入手，获取用户ssh密码，登录以后直接通过具有uuid权限的程序，直接修改当前用户的权限，提升为ROOT，前面的思路还好，后面思路2333，长见识了还能直接该etc/passwd的。。。。。