当前位置: 代码迷 >> 综合 >> 【writeup】Kioptrix Level 3靶机
  详细解决方案

【writeup】Kioptrix Level 3靶机

热度:72   发布时间:2024-02-22 23:14:36.0

【writeup】Kioptrix Level 3靶机

  • 前言
  • 过程
    • 信息收集
    • phpmyadmin漏洞尝试
    • gallery SQL注入漏洞利用
    • 利用system参数获取passwd文件内容
    • ssh登录longferret账号并提权
  • 过程总结

前言

靶机环境:https://www.vulnhub.com/entry/kioptrix-level-12-3,24/
我的kali攻击机IP:192.168.1.10
靶机IP:192.168.1.11

过程

信息收集

虚机开机后,先nmap扫描找到靶机ip。靶机自动获取了192.168.1.11。
在这里插入图片描述
根据靶机的描述,需要修改host将域名:kioptrix3.com指向获取的IP。修改/etc/hosts文件完成域名指向。
在这里插入图片描述
在这里插入图片描述
先用nmap扫描了下开发的端口、服务等信息。该靶机就开放了22端口和80端口。
在这里插入图片描述
1、打开网站浏览下功能。有首页、博客和登录页面。登录页面尝试了下SQL注入未果,不过登录页面可以看到使用的是lotusCMS。metasploit搜了下也有可利用的漏洞,尝试了下,没利用成功。(网上查了下,很多人能利用成功,后来也尝试找了下原因,未果最后放弃了。)
在这里插入图片描述
2、第一篇blog提示了网站有个类似“QQ空间”的展示照片的地方。(http://kioptrix3.com/gallery)
在这里插入图片描述
3、第二篇blog可以看到有个叫“loneferret”的用户。也有留言的功能,尝试了下xss,也有过滤,不过就算有xss貌似用处也不大。
在这里插入图片描述

phpmyadmin漏洞尝试

用dirsearch扫描下网站目录。除了刚已知的gallery,还发现了phpmyadmin,访问可以看到版本是2.11.3。经过一番Google之后。
1、phpmyadmin的config.inc.php有命令执行漏洞,但该靶机无法利用,应该是修复了。(影响版本: 2.11.x < 2.11.9.5 and 3.x < 3.1.3.1)
2、用户名输入:‘localhost’@’@" 可以直接登录phpmyadmin。(影响版本:2.11.3 / 2.11.4)登录之后只能看到information_schema库,试了下写入一句话木马,提示木有权限。
3、/phpmyadmin/scripts/setup.php,这个版本下应该也有反序列化漏洞,尝试了下,需要登录,也没利用成功。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

gallery SQL注入漏洞利用

phpmyadmin貌似没有能利用的点,放弃,尝试gallery。
1、访问version.txt能看到gallarific的版本是2.1,gallarific应该是一个图片插件。
2、访问allery/db.sql/gallery/db.sql,可以看到数据库的表名和字段名。gallarific_users表应该存储着这个照片空间的用户和密码。
3、访问gallery/gadmin,是一个登录的界面,应该就是用gallarific_users表里用户来登录的。
4、这里有一个gallery.php扫目录的时候没扫到,通过页面点连接的时候一开始没注意到,但其实在获取了gallarific版本的时候用msf搜了下,gallery.php是有SQL注入的漏洞的,然后反应过来后因为比较坑的颜色,又找了半天的注入点。页面左下角其实有个下拉框的,因为是黑色的,跟黑条颜色一样,不注意根本看不到。。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
选择下拉菜单后,就能看到传的参数了。尝试了下加个分号,就返回报错了,确实可以注入,然后用sqlmap跑了下,导出了用户名和密码。
1、发现了有gallery、information_schema、mysql三个数据库。
2、gallery数据库因为刚刚db.sql的信息泄露,就已经知道了有 gallarific_users表和字段名,然后直接用sqlmap导出。
3、这里一开始也是忽略了一个比价重要的,因为db.sql中并没有泄露dev_accounts表,所以一开始没注意。这个表其实还有账号密码。用sqlmap导出。
4、dev_accounts表里刚好有一开始网站首页出现过的“loneferret”用户。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

利用system参数获取passwd文件内容

成功登陆gallery的后台,后台有上传图片功能和theme editor(但它没有权限写)。
1、图片上传功能,只能上传jgp文件。
2、上传的文件会被重命名成新的jgp后缀的文件名。所以burpsuite改文件名和文件名截断用不了。
3、这里在文件上传也是尝试了半天没成功后,想到了另外两个账号和开放的22端口,想了下应该可以直接登录,尝试了下后,确实可以直接ssh登录longferret账号。
(后面有Google了下之后,发现其实在网站首页传递的system参数,可以利用,查看passwd文件。要用到文件名截断。这里用wfuzz工具,对system参数传递的内容进行fuzz测试,可以跑出来。
(这里反复尝试发现,比如我用%00.jpg第一次成功,第二次就不行了,需要改用别的后缀,具体后缀用什么貌似都行,原因没深究了。。passwd文件里能看到有loneferret用户。)
在这里插入图片描述
在这里插入图片描述

ssh登录longferret账号并提权

ssh成功登陆后,查看了下longferret的账号权限和CompanyPolicy.README。可以执行sudo ht进行编辑、创建和查看文件。并且ht文件是具备suid权限的。
这里一开始执行ht会有个“Error opening terminal: xterm-256color.”报错,需要在.profile文件里添加一行“export TERM=xterm”,然后重启terminal。
1、一开始打开shadow文件获取root账号hash,尝试破解了下,用hashtab和john没破解出来,密码不在字典里面。用john试了下loneferret账号的hash倒是在字典里。在线的hash破解网站也是有loneferret的密码hash。
2、其实可以直接用ht编辑/etc/sudoers文件,给loneferret账号增加root权限。然后sudo passwd root重置了root的密码,su切换到root账号。
3、修改UID理论上应该也可以,不过应该会引发一些程序错误,修改前创造的文件或程序就找不到原来UID的用户。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

过程总结

1、仔细吧,做的过程中很多细节点自己主观就忽略了,很多信息点前期也没有主动关联的意识。
2、别太轴,可能也是刚开始,总是找到一个漏洞点就在那死磕。
3、还是太散,整个过程在最后梳理总结的时候,发现自己在做的时候太散太乱。

  相关解决方案