sosonp's blog

focus on cybersecurity

0%

vulnhub-kioptrix level3 walkthrough

Posted on In

目标靶机

KIOPTRIX: LEVEL 1.2 (#3)

根据靶机说明设置hosts
k3-1.png

涉及漏洞

  • LFI(本地文件包含)
  • SQL注入
  • LotusCMS
  • /etc/sudoers提权
  • dirtycow提权

信息收集

nmap扫描
k3-2.png

k3-3.png

nikto扫描web服务端口
k3-4.png

发现phpmyadmin后台
k3-5.png

访问80端口web服务
k3-6.png

访问登录页面,尝试admin:admin弱口令,登录失败
k3-7.png

登录提示框发现使用了框架LotusCMS
k3-8.png

Searchsploit查找漏洞,发现metasploit有利用脚本
k3-9.png

漏洞利用

LotusCMS利用

使用Metasploit查找漏洞利用模块
k3-10.png

k3-11.png

设置rohsts、uri参数
k3-12.png

run exploit. getshell
k3-13.png

SQL注入+本地提权(方法一)

该页面有参数id,加一个单引号访问报错
k3-14.png
k3-15.png

使用sqlmap注入
sqlmap -u "http://kioptrix3.com/gallery/gallery.php?id=1&sort=photoid"
k3-16.png

枚举数据库
sqlmap -u "http://kioptrix3.com/gallery/gallery.php?id=1&sort=photoid" -dbs
k3-17.png

枚举gallery库
sqlmap -u "http://kioptrix3.com/gallery/gallery.php?id=1&sort=photoid" -D gallery --tables
k3-18.png

跑dev_accounts表,得到两个账号密码
sqlmap -u "http://kioptrix3.com/gallery/gallery.php?id=1&sort=photoid" -D gallery -T dev_accounts --dump
k3-19.png

使用hydra破解,得出loneferret的密码为starwars
hydra -L users.txt -P /usr/share/wordlists/fasttrack.txt 192.168.3.132 ssh -e nsr -f -t 4
k3-20.png

使用loneferret登录,有个提示文件发现sudo ht命令有特殊权限
k3-21.png

执行sudo ht,报错
k3-22.png

google一番,环境变量问题
k3-23.png
k3-24.png

Sudo ht进入一个编辑器页面
k3-25.png

Sudo -l发现su命令禁用了suid权限,于是用ht编辑器把!符号去掉
k3-26.png

Which su命令看到su实际在/bin/su
k3-27.png

于是进入ht编辑器,修改/etc/sudoers文件如下
k3-28.png
k3-29.png

按F2保存,F10退出
再使用sudo -l 查看权限
k3-30.png

使用sudo su -切换root成功
k3-31.png

本地提权(方法二)

查看内核版本
k3-33.png

查找内核漏洞,dirtycow符合版本
k3-34.png

尝试利用dirty cow提权
下载代码,编译
k3-35.png

运行
k3-36.png

提示需要从终端运行,利用python切换tty并切换root,提权成功
k3-37.png