KioptrixVM3
项目地址:https://www.vulnhub.com/entry/kioptrix-level-12-3,24
提示:靶机网络连接方式使用NAT模式。
文章目录
- KioptrixVM3
- 一、信息收集:
- 二、信息利用/系统提权
- 1.枚举web服务:
- 2. 访问gallery目录后未发现有用信息
- 3. 对gallery目录进行再次枚举
- 4. 在gallery目录下发现一个gallery.php文件,验证后发现该路径下存在注入
- 5. 通过注入获取数据库中的字段内容
- 6. 获取的内容是一组账号和密码,在前端进行登陆后均为失败,使用ssh登陆,发现成功登录,登录后的用户没有任何执行权限
- 7. 再次通过注入获取其他字段内容
- 8. 使用获取到的账号密码进行ssh登录,登陆后发现路径下存在一个CompanyPolicy.README文件
- 9. 查看CompanyPolicy.README文件,提示使用sudo ht命令,并使用新安装的软件对文件进行编辑
- 10. 执行sudo ht后提示打开软件错误,之后在网上查找相关信息,发现ht是一个编辑器,针对报错也查找了相关信息,尝试使用xterm代替xterm-256color
- 11. 按提示打开ht编辑器F3打开sudoers(/etc/sudoers)文件,给bin目录下的bash文件添加权限
- 12. F2保存后,执行sudo /bin/bash提升权限
- 总结:
一、信息收集:
1. 靶机IP查找:
命令如下:
kali@kali:~/Desktop$ fping -asg 192.168.43.0/24
靶机IP为192.168.43.121
192.168.43.1
192.168.43.11
192.168.43.121
2. 使用nmap进行端口扫描:
命令如下:
kali@kali:~/Desktop$ sudo nmap -nvv -sSVC -Pn -oN /home/kali/Desktop/dkscan.txt 192.168.43.121
#Nmap 7.80 scan initiated Sat Jul 18 01:05:36 2020 as: nmap -nvv -sSVC -Pn -oN /home/kali/Desktop/dkscan.txt 192.168.43.121
Nmap scan report for 192.168.43.121
Host is up, received arp-response (0.0016s latency).
Scanned at 2020-07-18 01:05:37 EDT for 6s
Not shown: 998 closed ports
Reason: 998 resets
PORT STATE SERVICE REASON VERSION
22/tcp open ssh syn-ack ttl 64 OpenSSH 4.7p1 Debian 8ubuntu1.2 (protocol 2.0)
| ssh-hostkey:
| 1024 30:e3:f6:dc:2e:22:5d:17:ac:46:02:39:ad:71:cb:49 (DSA)
| ssh-dss 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
| 2048 9a:82:e6:96:e4:7e:d6:a6:d7:45:44:cb:19:aa:ec:dd (RSA)
|ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAyOv6c+5ON+N+ZNDtjetiZ0eUxnIR1U0UqSF+a24Pz2xqdnJC1EN0O3zxGJB3gfPdJlyqUDiozbEth1GBP//8wbWsa1pLJOL1YmcumEJCsitngnrVN7huACG127UjKP8hArECjCHzc1P372gN3AQ/h5aZd0VV17e03HnAJ64ZziOQzVJ+DKWJbiHoXC2cdD1P+nlhK5fULe0QBvmA14gkl2LWA6KILHiisHZpF+V3X7NvXYyCSSI9GeXwhW4RKOCGdGVbjYf7d93K9gj0oU7dHrbdNKgX0WosuhMuXmKleHkIxfyLAILYWrRRj0GVdhZfbI99J3TYaR/yLTpb0D6mhw==
80/tcp open http syn-ack ttl 64 Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.6 with Suhosin-Patch)
| http-cookie-flags:
| /:
| PHPSESSID:
| httponly flag not set
|http-favicon: Unknown favicon MD5: 99EFC00391F142252888403BB1C196D2
| http-methods:
| Supported Methods: GET HEAD POST OPTIONS
|_http-server-header: Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.6 with Suhosin-Patch
|_http-title: Ligoat Security - Got Goat? Security …
MAC Address: 00:0C:29:9B:6A:1A (VMware)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Read data files from: /usr/bin/…/share/nmap
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
#Nmap done at Sat Jul 18 01:05:43 2020 – 1 IP address (1 host up) scanned in 6.72 seconds
二、信息利用/系统提权
1.枚举web服务:
命令如下:
kali@kali:~/Desktop$ gobuster dir -w /home/kali/Desktop/zd/dir.txt -u http://192.168.43.121 -x zip,php,txt,asp
2. 访问gallery目录后未发现有用信息
3. 对gallery目录进行再次枚举
命令如下:
kali@kali:~/Desktop$ gobuster dir -w /home/kali/Desktop/zd/dir.txt http://192.168.43.121/gallery/ -x zip,php,txt,asp
4. 在gallery目录下发现一个gallery.php文件,验证后发现该路径下存在注入
5. 通过注入获取数据库中的字段内容
6. 获取的内容是一组账号和密码,在前端进行登陆后均为失败,使用ssh登陆,发现成功登录,登录后的用户没有任何执行权限
7. 再次通过注入获取其他字段内容
8. 使用获取到的账号密码进行ssh登录,登陆后发现路径下存在一个CompanyPolicy.README文件
9. 查看CompanyPolicy.README文件,提示使用sudo ht命令,并使用新安装的软件对文件进行编辑
10. 执行sudo ht后提示打开软件错误,之后在网上查找相关信息,发现ht是一个编辑器,针对报错也查找了相关信息,尝试使用xterm代替xterm-256color
参考链接:https://unix.stackexchange.com/questions/385834/error-opening-terminal-xterm-256color
11. 按提示打开ht编辑器F3打开sudoers(/etc/sudoers)文件,给bin目录下的bash文件添加权限
12. F2保存后,执行sudo /bin/bash提升权限
总结:
(1)通过对web进行枚举发现gallery目录,对该目录再次枚举,发现gallery.php文件,该文件存在注入漏洞。
(2)利用注入漏洞获取到了ssh登录的用户名和密码。
(3)通过ssh登录到系统中,发现路劲下存在CompanyPolicy.README文件。
(4)根据CompanyPolicy.README文件提示,使用ht编辑器给bash文件添加执行权,执行bash问价后,成功提权。
注意:发现url存在注入,找到闭合点后可以使用sqlmap工具进行探测,手工注入效率不高,容易耽误太多时间