-
准备工作
- 靶机下载链接:https://download.vulnhub.com/kioptrix/KVM3.rar
- 下载后解压,点击文件
.vmx
- 启动虚拟机,点击 否 ,安装虚拟机
- 启动成功
- 修改网卡(与自己的主机在同一网段下即可,有插网线推荐桥接,WIFI推荐NAT),这里我选择NAT,点击确定
- 再次打开上面 网络适配器 的页面在 高级 中查看MAC地址
- 重启靶机
-
信息收集
-
确定NAT网段
-
可以看到NAT是
192.168.142.0/24
网段的 -
kali 执行
sudo nmap -sn -PR 192.168.142.0/24
-
发现靶机IP为:
192.168.142.144
-
端口扫描:
nmap -p- 192.168.142.144
-
发现其开放 22 和 80 端口,
-
尝试访问80端口,发现如下页面
-
获取shell(3)
方式一:SQL注入 |
|
方式二:文件包含 |
|
方式三:命令执行 |
|
-
权限提升 - SUDO 提权
-
这里直接使用已经获得的 SSH 账号进行提权
账号:loneferret 密码:starwars
-
列出当前用户拥有
sudo
权限的命令sudo -l
-
发现拥有
sudo
权限的是个编辑器 -
打开编辑器,发现报错
sudo /usr/local/bin/ht
-
设置环境变量,继续执行上述命令
export TERM=xterm sudo /usr/local/bin/ht
-
打开如下界面
-
整体流程:按下 F3 - 输入想编辑的文件 - 编辑完成后 - F2 保存 - Ctrl+C 退出
-
举例:编辑
/etc/passwd
将loneferret
用户提升至root
权限- 输入
/etc/passwd
,按下回车键 - 进行编辑(修改前)
- 修改后
- 编辑完成后 - F2 保存 - Ctrl+C 退出
- 输入
-
重新登录
loneferret
用户,发现权限已经变为了root
账号:loneferret 密码:starwars
-
PS:可以编辑任意文件这点,权限实在是太过了,这种权限已经可以变着花样玩了(增删改查,无所不能)
-
总结
- 流程:主机发现 - 信息收集 - web渗透 - 获取shell - 权限提升
- 信息收集:
- 这次的靶机算是一个很标准的靶机了,信息收集的内容几乎全占了;
- 其中通过指纹信息,搜索LotusCMS的漏洞发现可以通过命令执行获取Shell,算一个较大的战果;
- 通过 PHP 的版本信息(5.2.4),容易联想到文件包含的00截断绕过(PHP<5.3.4)
- 还有些通过观察系统版本(2.6.24) ,发现可以进行脏牛提取(2.6.22 < x < 3.9)等等
- web渗透:
- SQL注入,很标准的一套流程,仅通过SQL注入就成功获得了shell,在靶机中很是少见了;
- 文件包含,这次参数
?system=Blog
并没有显示的文件特征,但也尝试进行了包含,没想到还真有意外之喜; - 文件上传,PHP的版本算一个提示信息;
- 命令执行,属于Nday,这个较为轻松;
- PS:比较基础,但值得回味。