思享工具箱

kioptrix-3

摘要:
第二个版本测试点cmsLotusCMS包含csrf和xss等漏洞。PhpmyadminphpMyAdmin2.11.3deb1ubuntu1.3可能的exp太多。尝试几种可能的非xs,但找不到有效的exp。最后两个post-type数据包是管理页面的登录数据包。可以考虑SQL注入。此外,归档、类别、发布和其他参数可用于SQL注入。Id=1*&sort=filename*“-Dgallery-Tgallarific_users-dump-batch获取以下用户凭据信息。网站可以在后台通过gallery.gallarific_users获取管理密码。成功获取root。其他授权尝试访问。结果是另一方的perl版本太低,无法正常运行。

简介

https://www.vulnhub.com/entry/kioptrix-level-12-3,24/
注意,为了使这个靶场正常运行,要修改 hosts 文件,若是只使用 burp 手工测试,则可以在burp设置中自定义域名解析。

image-20210411225201158

  • 检验当前系统是否支持 sctp 协议 grep SCTP /proc/net/protocols

  • burp scanner crawl + dirsearch

    通过融合

    python3 dirsearch.py -u http://kioptrix3.com/ --ip=192.168.200.139 --full-url --simple-report xxx

    在 burp new scanner 将其复制粘贴到urls 中,然后配置爬虫深度为 0。

    如果目标少的话,也可以直接在burp 中repeater 中 请求

  • 实际测试中也要测试登录功能处是否存在弱口令等,例如 phpmyadmin、ssh、网站中的登录处。但这种靶场一般不存在,所以文中就不测试。

信息收集

image-20210330161943769

只开放了两个端口,且版本当前不存在明显漏洞。看来这个基本就是 web 渗透了。

web 渗透

对目录进行爬取,有多种方式:dirsearch 扫是否有隐藏文件。burp 自带 js 分析功能,所以可以看到 target 中的网站地图信息。

登录到网站页面,进行浏览。

image-20210411231915175

接下来就是疯狂点击各种链接,触发各种数据包。在浏览的过程中 留意特殊功能。

信息收集

image-20210412091341265

通过浏览页面,很容易得知目标 cms 是 lotusCMS。

版本测试点
cms

LotusCMS

image-20210402184629420

第二个中是 csrf、xss 等漏洞。

第一个要在 msfcosole 中利用,值得注意的是,默认的 URI 和 payload 都需要重新设置。

image-20210402190126140

运行成功后进入 shell 环境。

image-20210402191148340

phpmyadmin

image-20210402193340700

phpMyAdmin 2.11.3deb1ubuntu1.3

可能的 exp 太多,尝试几个可能的,非 xss 的,没找到有效的。

这个第一次做的时候没收集完整,也可以通过搜索 相片管理的 cms 来得知存在 sql 注入漏洞。

image-20210412145204884

功能及测试点
sql 注入

image-20210412092055202

根据数据包,此处第一个 post 型数据包是 blog 评论处的数据包,可能存在 xss、但目前只考虑sql 注入、命令执行等高危突破点,所以这个数据包暂无值得关注点。

最后两个 post 型数据包是 admin 页面的登录数据包,可以考虑 sql 注入。

此外 archive 、category、post 这些参数都可以尝试进行 sql 注入。

image-20210412093033693

gallery 目录中 以下参数也可以尝试 sql 注入

image-20210412093842019

整理一下,这些是 GET 型 sql 注入测试点

image-20210412094525887

python3 sqlmap.py -m zzz -v3  --technique=BEU --batch

image-20210412123038267

在测试第二个 url 时,就已经获取到注入点了,所以就跳过剩下的 GET 型和 POST 型。

后期发现,也可以通过搜索 相片管理的 cms 来得知存在 sql 注入漏洞。

image-20210412145204884

逐步获取数据库内的信息。

python3 sqlmap.py -u "http://kioptrix3.com/gallery/gallery.php?id=1*&sort=filename*" -D gallery -T gallarific_users --dump --batch

获取到以下用户凭证信息

image-20210412130612044

image-20210412130643898

image-20210412130709221

网站后台

通过 gallery.gallarific_users 中可以获知管理密码。

http://kioptrix3.com/gallery/gadmin/index.php

image-20210412124919846

image-20210412130008152

尝试上传 webshell。

image-20210412150102689

上传功能好像失效了,即使上传正常的图片也是失败。而且,上传后会文件名及其后缀都会重新命名,除非存在解析漏洞,否则很难利用。

用户凭证

数据库 gallery.dev_accounts 表中导出的两个账户的密码可以在 cmd5 网上破解。

dreg:Mast3r
loneferret:starwars

这两个凭证,可以尝试 ssh 。结果都成功获取 shell

image-20210412155020740

image-20210412155104503

提权

在进行提权时应该先广度优先,通过各种方式切入进系统,了解一下。不同的账户可能拥有不同的敏感信息。

例如,loneferret 这个账户有 sudo 权限,并且有提示文件。而其它两种方式都没有,如果从这块切入的话难度相对较小。

image-20210412162448435

image-20210412163439986

直接提醒了 sudo ht 命令 ,在 https://gtfobins.github.io/ 没有搜到这个命令。google 一下发现是一个第三方程序。直接运行试试。

image-20210412164200540

出现这个错误,google 一下,得知解决方法,导出环境变量即可。

export TERM=xterm

image-20210412164330486

进去后发现是个编辑器,那么可以尝试编辑修改 /etc/sudoers 文件。

image-20210412181000222

成功获取 root

image-20210412181028128

其它提权尝试
ht editor

image-20210412164614217

尝试 exp

image-20210412164737487

结果因为对方 perl 版本过低,无法正常运行。

系统漏洞

image-20210411095504012

image-20210411110807567

前两个需要 sctp 协议,而靶机不支持。最后一个因为 linux 版本过低而缺少某些库。

数据库

以 lotuscms exp 获取 shell 的方式,可以看到网站的数据库配置文件。从这点也可以切入到数据库。

image-20210411142404460

标签:#gallery | 浏览:152 | 发布日期:

免责声明:文章转载自《kioptrix-3》仅用于学习参考。如对内容有疑问,请及时联系本站处理。

上篇This file is about changes in Emacs version 24.C#字节取高低位以及byte和string的转换下篇

宿迁高防,2C2G15M,22元/月;香港BGP,2C5G5M,25元/月 雨云优惠码:MjYwNzM=

相关文章

android用户界面之Gallery3D学习资料汇总

一、Gallery之根蒂根基教程1.Android Gallery与衍生BaseAdapter容器 http://www.apkbus.com/android-6249-1-1.html 2.Android 根蒂根基 UI 编程之八(相簿浏览 Gallery) http://www.apkbus.com/android-14004-1-1.html 3.an...

Android中Gallery显示手机中的图片

在网上找了好久似乎都没有关于这方面的(可能是自己的信息量太小吧),于是自己来填补这个漏洞吧。 常见的方法莫过于自己定义一个数组,用以存储图片的引用,如:   1 private Integer[] pictures = {  2         R.drawable.icon1,  3         R.drawable.icon2...

最新文章

随机推荐

思享工具箱导航