码迷,mamicode.com
首页 > 其他好文 > 详细

kioptrix-3

时间:2021-04-15 12:37:17      阅读:0      评论:0      收藏:0      [点我收藏+]

标签:dmi   凭证   账户   测试   登录   gallery   粘贴   简介   count   

简介

注意,为了使这个靶场正常运行,要修改 hosts 文件,若是只使用 burp 手工测试,则可以在burp设置中自定义域名解析。

技术图片

  • 检验当前系统是否支持 sctp 协议 grep SCTP /proc/net/protocols

  • burp scanner crawl + dirsearch

    通过融合

    python3 dirsearch.py -u http://kioptrix3.com/ --ip=192.168.200.139 --full-url --simple-report xxx

    在 burp new scanner 将其复制粘贴到urls 中,然后配置爬虫深度为 0。

    如果目标少的话,也可以直接在burp 中repeater 中 请求

  • 实际测试中也要测试登录功能处是否存在弱口令等,例如 phpmyadmin、ssh、网站中的登录处。但这种靶场一般不存在,所以文中就不测试。

信息收集

技术图片

只开放了两个端口,且版本当前不存在明显漏洞。看来这个基本就是 web 渗透了。

web 渗透

对目录进行爬取,有多种方式:dirsearch 扫是否有隐藏文件。burp 自带 js 分析功能,所以可以看到 target 中的网站地图信息。

登录到网站页面,进行浏览。

技术图片

接下来就是疯狂点击各种链接,触发各种数据包。在浏览的过程中 留意特殊功能。

信息收集

技术图片

通过浏览页面,很容易得知目标 cms 是 lotusCMS。

版本测试点
cms

LotusCMS

技术图片

第二个中是 csrf、xss 等漏洞。

第一个要在 msfcosole 中利用,值得注意的是,默认的 URI 和 payload 都需要重新设置。

技术图片

运行成功后进入 shell 环境。

技术图片

phpmyadmin

技术图片

phpMyAdmin 2.11.3deb1ubuntu1.3

可能的 exp 太多,尝试几个可能的,非 xss 的,没找到有效的。

这个第一次做的时候没收集完整,也可以通过搜索 相片管理的 cms 来得知存在 sql 注入漏洞。

技术图片

功能及测试点
sql 注入

技术图片

根据数据包,此处第一个 post 型数据包是 blog 评论处的数据包,可能存在 xss、但目前只考虑sql 注入、命令执行等高危突破点,所以这个数据包暂无值得关注点。

最后两个 post 型数据包是 admin 页面的登录数据包,可以考虑 sql 注入。

此外 archive 、category、post 这些参数都可以尝试进行 sql 注入。

技术图片

gallery 目录中 以下参数也可以尝试 sql 注入

技术图片

整理一下,这些是 GET 型 sql 注入测试点

技术图片

python3 sqlmap.py -m zzz -v3  --technique=BEU --batch

技术图片

在测试第二个 url 时,就已经获取到注入点了,所以就跳过剩下的 GET 型和 POST 型。

后期发现,也可以通过搜索 相片管理的 cms 来得知存在 sql 注入漏洞。

技术图片

逐步获取数据库内的信息。

python3 sqlmap.py -u "http://kioptrix3.com/gallery/gallery.php?id=1*&sort=filename*" -D gallery -T gallarific_users --dump --batch

获取到以下用户凭证信息

技术图片

技术图片

技术图片

网站后台

通过 gallery.gallarific_users 中可以获知管理密码。

http://kioptrix3.com/gallery/gadmin/index.php

技术图片

技术图片

尝试上传 webshell。

技术图片

上传功能好像失效了,即使上传正常的图片也是失败。而且,上传后会文件名及其后缀都会重新命名,除非存在解析漏洞,否则很难利用。

用户凭证

数据库 gallery.dev_accounts 表中导出的两个账户的密码可以在 cmd5 网上破解。

dreg:Mast3r
loneferret:starwars

这两个凭证,可以尝试 ssh 。结果都成功获取 shell

技术图片

技术图片

提权

在进行提权时应该先广度优先,通过各种方式切入进系统,了解一下。不同的账户可能拥有不同的敏感信息。

例如,loneferret 这个账户有 sudo 权限,并且有提示文件。而其它两种方式都没有,如果从这块切入的话难度相对较小。

技术图片

技术图片

直接提醒了 sudo ht 命令 ,在 https://gtfobins.github.io/ 没有搜到这个命令。google 一下发现是一个第三方程序。直接运行试试。

技术图片

出现这个错误,google 一下,得知解决方法,导出环境变量即可。

export TERM=xterm

技术图片

进去后发现是个编辑器,那么可以尝试编辑修改 /etc/sudoers 文件。

技术图片

成功获取 root

技术图片

其它提权尝试
ht editor

技术图片

尝试 exp

技术图片

结果因为对方 perl 版本过低,无法正常运行。

系统漏洞

技术图片

技术图片

前两个需要 sctp 协议,而靶机不支持。最后一个因为 linux 版本过低而缺少某些库。

数据库

以 lotuscms exp 获取 shell 的方式,可以看到网站的数据库配置文件。从这点也可以切入到数据库。

技术图片

kioptrix-3

标签:dmi   凭证   账户   测试   登录   gallery   粘贴   简介   count   

原文地址:https://www.cnblogs.com/starrys/p/14660428.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!