1.环境配置
下载地址: https://download.vulnhub.com/kioptrix/Kioptrix4_vmware.rar
下载完解压之后是一个vdmk文件,我们需要先创建一个新的虚拟机,将vdmk文件导入就行了
先移除原先硬盘,然后再进行添加,网络连接为Nat模式,靶机就是这个了
攻击机:kali(192.168.26.128)-Nat模式
2.渗透测试
信息收集
主机收集
nmap -sP 192.168.26.0/24
可以得知:靶机ip地址:192.168.26.134
扫描端口
nmap -sV -p- 192.168.26.134
得知开放了22、80、139、445端口,分别查询一下它们的服务
22端口: ssh 服务,传统的网络服务程序
80端口: HTTP(HyperText Transport Protocol,超文本传输协议)
139、445端口:提供Windows文件和打印机共享以及Unix中的Samba服务
查看更详细的信息:
nmap -nvv -Pn -sSV -p- --version-intensity 9 -A 192.168.26.134
漏洞收集
由于靶机开放了80端口,因此我们可以在网站上直接进行访问,出现一个登录框
登录框出现的漏洞一般都是sql注入或者弱口令或者爆破
弱口令爆破不出来,我们用工具扫描看看出现什么漏洞
nikto -h 192.168.26.134
漏洞利用
成功查找到sql注入漏洞,抓包查看,直接用sqlmap一把梭
先把数据包放到1.txt文件中,再进行post注入
payload:
python sqlmap.py -r 1.txt --level 3 --risk 3 --dbs --batch
扫描结束,从结果看,并没有可以注入的地方,但是前面有一条可疑信息:
这边有一个提示,参数mypassword可能存在注入,数据库类型为MySQL。
接下来就对这个参数进行一些注入测试:
sqlmap -u "http://192.168.26.134/checklogin.php" --data="mypassword=root"
sqlmap -u "http://192.168.26.134/checklogin.php" --data="mypassword=' or '1'='1"
这边用第二条命令检测出了存在注入:
可以看到注入类型为布尔盲注。
接下来在sqlmap命令中加上 --dbs 跑出数据库名:我自己跑不出来【汗流】,看了下别人的库名为members
sqlmap -u "http://192.168.26.134/checklogin.php" --data="mypassword=1" --dbs --batch
看到有个members的数据库,接下来-D members --dump 跑出数据库中的内容:
sqlmap -u "http://192.168.26.134/checklogin.php" --data="mypassword=1" -D members -dump --batch
可以看见有两个用户,这边用第一个用户进行登录
尝试进行登录,登录成功
可以看见就是一个成员控制面板,也不像之前的靶场有命令执行的输入框。但是我们这边已经拿到了用户名和密码
获得webshell
通过--os-shell选项直接获得webshell
这里获取失败了
这是成功获取shell的图片
获得普通用户shell
外尝试使用获得的用户名和密码通过ssh进行登录也成功获得普通用户shell,如图:
哎,这里又又又失败了,连接不上
找到解决办法了,细看此文:ssh 报错 no matching host key type found — 春之禾苗 (sysant.github.io)
ssh -o HostkeyAlgorithms=+ssh-rsa -o PubkeyAcceptedAlgorithms=+ssh-rsa username@xx.xx.xx.xx
突破SHELL限制并提权
给大家介绍一个突破shell限制的命令:echo os.system('/bin/bash')
echo是一个把字符串输出到终端上的命令。 本来是被限制了的shell,如果运行别的命令,就会不予执行。本来你关在牢房里,活动空间不过几平米。然而运行这条命令,就相当于把锁打开。echo相当于我们的中间人,它返回了bash shell。当然这条命令能够逃逸限制,也得益于该Lshell是由python所写,且可用调用python中os模块的system方法来执行系统命令导致的。
然后sudo su 输入john用户的密码MyNameIsJohn:未能获取到root权限,换个方法
查看内核版本,如图
显然可以使用脏牛提权,尝试上传文件发现无法外连80端口,但是可以外连443端口,且该shell无法执行二进制文件,不存在gcc,因此无法通过内核提权。查看/etc/passwd文件发现john和robert用户默认使用kshell,如图:
cat /etc/passwd
另外还存在一个普通用户loneferret用户。查看开启的端口发现有3306,如图:
netstat -anl
很自然想到的MySQL UDF提权,从前面SQL注入中获取到的信息发现数据库版本是5.0.12,但是在上传动态链接库后导出时出错。然而,在查看mysql数据库时很幸运发现已经存在func表,且表中含有执行命令的函数,如图:
尝试执行id命令,但返回信息为NULL,如图:
开启443端口监听,尝试使用函数执行命令访问443端口,如图:
说明命令执行成功。然后使用msfvenom生成反弹shell 的程序,上传到目标主机并执行,成功获取root权限。
总结
前面的知识点都跟之前题目差不多,后面出现了sql注入的利用,sqlmap工具的使用,以及获得webshell,在获得webshell之后的提权(数据库提权),以及一些linux的常用命令