【writeup】Kioptrix Level 3靶机

前言

靶机环境：https://www.vulnhub.com/entry/kioptrix-level-12-3,24/
我的kali攻击机IP：192.168.1.10
靶机IP：192.168.1.11

过程

信息收集

虚机开机后，先nmap扫描找到靶机ip。靶机自动获取了192.168.1.11。

根据靶机的描述，需要修改host将域名：kioptrix3.com指向获取的IP。修改/etc/hosts文件完成域名指向。


先用nmap扫描了下开发的端口、服务等信息。该靶机就开放了22端口和80端口。

1、打开网站浏览下功能。有首页、博客和登录页面。登录页面尝试了下SQL注入未果，不过登录页面可以看到使用的是lotusCMS。metasploit搜了下也有可利用的漏洞，尝试了下，没利用成功。（网上查了下，很多人能利用成功，后来也尝试找了下原因，未果最后放弃了。）

2、第一篇blog提示了网站有个类似“QQ空间”的展示照片的地方。（http://kioptrix3.com/gallery）

3、第二篇blog可以看到有个叫“loneferret”的用户。也有留言的功能，尝试了下xss，也有过滤，不过就算有xss貌似用处也不大。

phpmyadmin漏洞尝试

用dirsearch扫描下网站目录。除了刚已知的gallery，还发现了phpmyadmin，访问可以看到版本是2.11.3。经过一番Google之后。
1、phpmyadmin的config.inc.php有命令执行漏洞，但该靶机无法利用，应该是修复了。（影响版本： 2.11.x < 2.11.9.5 and 3.x < 3.1.3.1）
2、用户名输入：‘localhost’@’@" 可以直接登录phpmyadmin。（影响版本：2.11.3 / 2.11.4）登录之后只能看到information_schema库，试了下写入一句话木马，提示木有权限。
3、/phpmyadmin/scripts/setup.php，这个版本下应该也有反序列化漏洞，尝试了下，需要登录，也没利用成功。

gallery SQL注入漏洞利用

phpmyadmin貌似没有能利用的点，放弃，尝试gallery。
1、访问version.txt能看到gallarific的版本是2.1，gallarific应该是一个图片插件。
2、访问allery/db.sql/gallery/db.sql，可以看到数据库的表名和字段名。gallarific_users表应该存储着这个照片空间的用户和密码。
3、访问gallery/gadmin,是一个登录的界面，应该就是用gallarific_users表里用户来登录的。
4、这里有一个gallery.php扫目录的时候没扫到，通过页面点连接的时候一开始没注意到，但其实在获取了gallarific版本的时候用msf搜了下，gallery.php是有SQL注入的漏洞的，然后反应过来后因为比较坑的颜色，又找了半天的注入点。页面左下角其实有个下拉框的，因为是黑色的，跟黑条颜色一样，不注意根本看不到。。



选择下拉菜单后，就能看到传的参数了。尝试了下加个分号，就返回报错了，确实可以注入，然后用sqlmap跑了下，导出了用户名和密码。
1、发现了有gallery、information_schema、mysql三个数据库。
2、gallery数据库因为刚刚db.sql的信息泄露，就已经知道了有 gallarific_users表和字段名，然后直接用sqlmap导出。
3、这里一开始也是忽略了一个比价重要的，因为db.sql中并没有泄露dev_accounts表，所以一开始没注意。这个表其实还有账号密码。用sqlmap导出。
4、dev_accounts表里刚好有一开始网站首页出现过的“loneferret”用户。

利用system参数获取passwd文件内容

成功登陆gallery的后台，后台有上传图片功能和theme editor（但它没有权限写）。
1、图片上传功能，只能上传jgp文件。
2、上传的文件会被重命名成新的jgp后缀的文件名。所以burpsuite改文件名和文件名截断用不了。
3、这里在文件上传也是尝试了半天没成功后，想到了另外两个账号和开放的22端口，想了下应该可以直接登录，尝试了下后，确实可以直接ssh登录longferret账号。
（后面有Google了下之后，发现其实在网站首页传递的system参数，可以利用，查看passwd文件。要用到文件名截断。这里用wfuzz工具，对system参数传递的内容进行fuzz测试，可以跑出来。
（这里反复尝试发现，比如我用%00.jpg第一次成功，第二次就不行了，需要改用别的后缀，具体后缀用什么貌似都行，原因没深究了。。passwd文件里能看到有loneferret用户。）

ssh登录longferret账号并提权

ssh成功登陆后，查看了下longferret的账号权限和CompanyPolicy.README。可以执行sudo ht进行编辑、创建和查看文件。并且ht文件是具备suid权限的。
这里一开始执行ht会有个“Error opening terminal: xterm-256color.”报错，需要在.profile文件里添加一行“export TERM=xterm”，然后重启terminal。
1、一开始打开shadow文件获取root账号hash，尝试破解了下，用hashtab和john没破解出来，密码不在字典里面。用john试了下loneferret账号的hash倒是在字典里。在线的hash破解网站也是有loneferret的密码hash。
2、其实可以直接用ht编辑/etc/sudoers文件，给loneferret账号增加root权限。然后sudo passwd root重置了root的密码，su切换到root账号。
3、修改UID理论上应该也可以，不过应该会引发一些程序错误，修改前创造的文件或程序就找不到原来UID的用户。

过程总结

1、仔细吧，做的过程中很多细节点自己主观就忽略了，很多信息点前期也没有主动关联的意识。
2、别太轴，可能也是刚开始，总是找到一个漏洞点就在那死磕。
3、还是太散，整个过程在最后梳理总结的时候，发现自己在做的时候太散太乱。