OSCP备考系列 第0x04篇笔记;
笔记顺序参考官方靶场(节选)
OSCP官方推荐靶场https://docs.google.com/spreadsheets/u/0/d/1dwSMIAPIam0PuRBkCiDI88pU3yzrqqHkDtBngUHNCw8/htmlview?pli=1#
https://www.vulnhub.com/entry/kioptrix-level-13-4%2C25/
配置:
01.VM新建虚拟机
选择使用现有磁盘
攻击机:192.168.65.136
靶机:192.168.65.138
01.主机探测
02.端口探测
发现22 80 139 445端口开放
访问80端口 web站点
输入框中 随便输入一些内容 让其报错
知道为MySQL的数据库。
03.目录扫描
找到了一个疑似账号密码的数据。
使用万能密码登录:
万能密码原理:
sql语句select name,pass from tbAdmin where name='admin' and pass='123456'
假如我们输入密码为' or 1='1
就会变成select name,pass from tbAdmin where name='admin' and pass='' or 1='1‘,
这样的话永为真,在尝试Admin和' or 1='1时成功
拿到了密码
尝试22 ssh登录
登录后 发现几乎没啥操作权限。
获取一个交互的shell,没什么权限。
翻配置文件 找到mysql账号密码。
登录进入MySQL进行提权操作:
MySQL提权:
https://mp.weixin.qq.com/s/1D0qxqU8_yIn_59PK-n3AQ
UDF提权:
创建自定义函数,导入自定义函数,利用自定义函数
secure_file_priv 的值为空,即对mysql没做限制。
查找MySQL存在的函数 直接利用该函数提权。
select sys_exec('usermod -a -G admin john');
退出数据库:切换管理员账号
至此结束。
原文始发于微信公众号(0x00实验室):VulnHub靶机 | Kioptrix: Level 1.3(#4)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论