vulnhub靶机kioptrix3

端口扫描

只开放了两个端口 

web探测

可以看到出现了报错，而且泄露出来了绝对路径信息。并且有eval的字眼，那么可能和命令执行有关！！

 

web界面是一个简单的博客系统， 在login点击以后可以看到标签页出现了lotuscms的字样，那么攻击链路就清晰了，找对应版本的历史漏洞就好了。

不过这里用whatweb没有找到cms版本记录。通过翻看源码等一系列手段也没有找到。

 

这里虽然没有找到具体是哪个版本，但是可以根据eval关键字进行筛选。

找利用脚本这里费了点时间，msf这里行不通，最后只能去github找

https://github.com/Hood3dRob1n/LotusCMS-Exploit.git

这个是可以用的，直接git clone就好。 

漏洞利用

 这里利用也很简单，直接输入ip和cms的路径就好了，路径指的应该就是index这个页面，这个网站只默认 / 就是cms的进入点，那么直接输入就好，后续设置反弹shell即可成功

提权

这里常见点都没什么可利用的，但是在loneferret家目录下发现这样一段信息

提示我们用ht去进行文件操作，那么应该要想到既然可以操作文件，那么就应该对/etc/passwd，/etc/soduers等进行改变。

另外，对于php网站一般多和mysql进行组合，所以进入系统以后对于mysql的信息获取必不能少。

 这个目录下存在一些mysql文件，去看看

这里在刚刚找到的mysql.php这个文件的上一层找到了连接信息 root/fuckeyou 

到这我想到了用udf去提权，只可惜一直卡在从数据库写到系统命令那里。

连入数据库可以找到两个信息

 

 可以看到这两个也是系统用户，那么极有可能是密码

通过解密可以得到starwars和，Mast3r两个密码。

starwars loneferret 从/etc/passwd也可以看到另一个用户是rbash，所以主要得到loneferret这个用户的密码就好。

 之前提示我们用ht编辑文件，那么尝试用ht去编辑/etc/souders来改变我们的权限。

这里交互性太差了，试一下ssh连接。

 

通过fn和f键(下方小数字)的组合来进行操控，这里输入/etc/sudoers进行编辑

这个文件用来设置用户可以进行的sudo操作，同样的我们也可以编辑/etc/passwd来进行密码修改让root用户为空也许。

这里直接在用户后加上/bin/bash即可，但是我这里sudoers文件搞坏了无法运行，所以切换不了root用户了，尝试其他系统内核提权也一直没成功，所以到此只能终止了。

总结

靶机整体还算简单，只是工具利用时候有几个点不知道为什么半天没成功，还有一点就是自己对信息处理还是不敏感，mysql账号密码发现的很慢还有ht这个点自己一直没利用好。