基本信息
|
|
|
|---|---|
|
|
|
|
|
|
前期信息收集
Nmap服务版本
-
只开放80和22端口。还有两个smb服务端口 ![Kioptrix-Level Four 综合靶机实战思路]( "Kioptrix-Level Four 综合靶机实战思路")
目录扫描
-
发现存在三个目录 images、john、robert。![Kioptrix-Level Four 综合靶机实战思路]( "Kioptrix-Level Four 综合靶机实战思路")
指纹
Smb版本信息
-
使用Nmap脚本确定版本信息 ![Kioptrix-Level Four 综合靶机实战思路]( "Kioptrix-Level Four 综合靶机实战思路")
信息整合
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
页面测试
根据信息查找POC
Apache版本漏洞
-
暂未发现符合poc ![Kioptrix-Level Four 综合靶机实战思路]( "Kioptrix-Level Four 综合靶机实战思路")
SSH服务
-
暂未发现什么有价值 poc![Kioptrix-Level Four 综合靶机实战思路]( "Kioptrix-Level Four 综合靶机实战思路")
Smb服务
-
暂未发现有用 ![Kioptrix-Level Four 综合靶机实战思路]( "Kioptrix-Level Four 综合靶机实战思路")
Web测试|80
目录收集
images站点图片目录
-
只有一个登录页面的图。 ![Kioptrix-Level Four 综合靶机实战思路]( "Kioptrix-Level Four 综合靶机实战思路")
john用户文件目录
-
有个 php文件打开是会员管理面板。不过提示出错应该是没权限查看。![Kioptrix-Level Four 综合靶机实战思路]( "Kioptrix-Level Four 综合靶机实战思路")
robert用户文件目录
-
一样是会员管理面板 ![Kioptrix-Level Four 综合靶机实战思路]( "Kioptrix-Level Four 综合靶机实战思路")
SQL注入
-
登录报错位置为 mypassword合并的符号为'![Kioptrix-Level Four 综合靶机实战思路]( "Kioptrix-Level Four 综合靶机实战思路")
-
尝试万能密码登录,发现页面出错。
#可正常登录
1' or 1 = 1 #
-
尝试使用之前发现的用户名,发现能正常显示页面,但是一样提示出错。
#使用一个存在的用户去尝试登录
mypassword=1' and 1 = 1 #&myusername=john
-
语句一个小错误,正常判断用户名密码是通过 where语句来判断用户AND密码是否在表中,原本使用了AND来连接,会导致有两个ADN来判断。而SQL的执行顺序来看,要保证用户名和密码都为真。改为OR一个为真则能登录
mypassword=1' or 1 = 1 #&myusername=john
-
知道用户名密码尝试使用 SSH登录看看,原本页面没有可用的功能点。
ssh [email protected] -oHostKeyAlgorithms=+ssh-rsa
已知信息
|
|
|
|---|---|
|
|
|
|
|
|
本地提权
-
回到登录进去的提示发现能使用的命令很少是个 rshell,这时候就需要Shell逃逸来获取高权限的shell。![Kioptrix-Level Four 综合靶机实战思路]( "Kioptrix-Level Four 综合靶机实战思路")
-
能使用 echo命令通过echo来获得完整的shell
echo os.system("/bin/bash")
-
发现能使用全部命令?? -u指定用户,直接变成root用户了。![Kioptrix-Level Four 综合靶机实战思路]( "Kioptrix-Level Four 综合靶机实战思路")
原文始发于微信公众号(泷羽Sec-小篮子):Kioptrix-Level Four 综合靶机实战思路
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论