kioptrix-3

简介

https://www.vulnhub.com/entry/kioptrix-level-12-3,24/
注意,为了使这个靶场正常运行,要修改 hosts 文件,若是只使用 burp 手工测试,则可以在burp设置中自定义域名解析。

image-20210411225201158

  • 检验当前系统是否支持 sctp 协议 grep SCTP /proc/net/protocols

  • burp scanner crawl + dirsearch

    通过融合

    python3 dirsearch.py -u http://kioptrix3.com/ --ip=192.168.200.139 --full-url --simple-report xxx

    在 burp new scanner 将其复制粘贴到urls 中,然后配置爬虫深度为 0。

    如果目标少的话,也可以直接在burp 中repeater 中 请求

  • 实际测试中也要测试登录功能处是否存在弱口令等,例如 phpmyadmin、ssh、网站中的登录处。但这种靶场一般不存在,所以文中就不测试。

信息收集

image-20210330161943769

只开放了两个端口,且版本当前不存在明显漏洞。看来这个基本就是 web 渗透了。

web 渗透

对目录进行爬取,有多种方式:dirsearch 扫是否有隐藏文件。burp 自带 js 分析功能,所以可以看到 target 中的网站地图信息。

登录到网站页面,进行浏览。

image-20210411231915175

接下来就是疯狂点击各种链接,触发各种数据包。在浏览的过程中 留意特殊功能。

信息收集

image-20210412091341265

通过浏览页面,很容易得知目标 cms 是 lotusCMS。

版本测试点
cms

LotusCMS

image-20210402184629420

第二个中是 csrf、xss 等漏洞。

第一个要在 msfcosole 中利用,值得注意的是,默认的 URI 和 payload 都需要重新设置。

image-20210402190126140

运行成功后进入 shell 环境。

image-20210402191148340

phpmyadmin

image-20210402193340700

phpMyAdmin 2.11.3deb1ubuntu1.3

可能的 exp 太多,尝试几个可能的,非 xss 的,没找到有效的。

这个第一次做的时候没收集完整,也可以通过搜索 相片管理的 cms 来得知存在 sql 注入漏洞。

image-20210412145204884

功能及测试点
sql 注入

image-20210412092055202

根据数据包,此处第一个 post 型数据包是 blog 评论处的数据包,可能存在 xss、但目前只考虑sql 注入、命令执行等高危突破点,所以这个数据包暂无值得关注点。

最后两个 post 型数据包是 admin 页面的登录数据包,可以考虑 sql 注入。

此外 archive 、category、post 这些参数都可以尝试进行 sql 注入。

image-20210412093033693

gallery 目录中 以下参数也可以尝试 sql 注入

image-20210412093842019

整理一下,这些是 GET 型 sql 注入测试点

image-20210412094525887

python3 sqlmap.py -m zzz -v3  --technique=BEU --batch

image-20210412123038267

在测试第二个 url 时,就已经获取到注入点了,所以就跳过剩下的 GET 型和 POST 型。

后期发现,也可以通过搜索 相片管理的 cms 来得知存在 sql 注入漏洞。

image-20210412145204884

逐步获取数据库内的信息。

python3 sqlmap.py -u "http://kioptrix3.com/gallery/gallery.php?id=1*&sort=filename*" -D gallery -T gallarific_users --dump --batch

获取到以下用户凭证信息

image-20210412130612044

image-20210412130643898

image-20210412130709221

网站后台

通过 gallery.gallarific_users 中可以获知管理密码。

http://kioptrix3.com/gallery/gadmin/index.php

image-20210412124919846

image-20210412130008152

尝试上传 webshell。

image-20210412150102689

上传功能好像失效了,即使上传正常的图片也是失败。而且,上传后会文件名及其后缀都会重新命名,除非存在解析漏洞,否则很难利用。

用户凭证

数据库 gallery.dev_accounts 表中导出的两个账户的密码可以在 cmd5 网上破解。

dreg:Mast3r
loneferret:starwars

这两个凭证,可以尝试 ssh 。结果都成功获取 shell

image-20210412155020740

image-20210412155104503

提权

在进行提权时应该先广度优先,通过各种方式切入进系统,了解一下。不同的账户可能拥有不同的敏感信息。

例如,loneferret 这个账户有 sudo 权限,并且有提示文件。而其它两种方式都没有,如果从这块切入的话难度相对较小。

image-20210412162448435

image-20210412163439986

直接提醒了 sudo ht 命令 ,在 https://gtfobins.github.io/ 没有搜到这个命令。google 一下发现是一个第三方程序。直接运行试试。

image-20210412164200540

出现这个错误,google 一下,得知解决方法,导出环境变量即可。

export TERM=xterm

image-20210412164330486

进去后发现是个编辑器,那么可以尝试编辑修改 /etc/sudoers 文件。

image-20210412181000222

成功获取 root

image-20210412181028128

其它提权尝试
ht editor

image-20210412164614217

尝试 exp

image-20210412164737487

结果因为对方 perl 版本过低,无法正常运行。

系统漏洞

image-20210411095504012

image-20210411110807567

前两个需要 sctp 协议,而靶机不支持。最后一个因为 linux 版本过低而缺少某些库。

数据库

以 lotuscms exp 获取 shell 的方式,可以看到网站的数据库配置文件。从这点也可以切入到数据库。

image-20210411142404460

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/starrys/p/14660428.html