广东网络公司网站东莞网站设计公司
声明!
学习资源来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!!有兴趣的小伙伴可以点击下面连接进入b站主页[B站泷羽sec](https://space.bilibili.com/350329294)
有想要了解oscp认证证书的可以私信我哦,泷羽sec新年特惠!!!
kioprix4靶机wp
环境:
攻击机:kali ip地址:192.168.66.141
靶机:kioprix4 ip地址:192.168.66.134
安装好靶机后,使用nmap扫描网段获得靶机ip:
使用nmap -sS -sV -p 22,80,139,445 192.168.66.134查看目标ip的端口详细信息
使用dirb扫描该ip下的文件夹
在扫描时我们可以访问该目标网站可以看到该网站是一个登录框
尝试使用弱口令登录,失败
对其尝试使用sql注入,在密码栏处注入,报错了说明其存在sql注入漏洞
回到文件夹扫描,发现其存在一个疑似用户名的php文件
使用这个用户名加上sql注入登录试试
还是报错,上网查了一下说可能是语法的问题,换个注入语法尝试一下
(之前使用的是1‘ and -- +)
换成1’ or 1=1 -- +,成功登录,获取到用户名密码
利用获取到的用户名密码进行ssh登录
但是该用户的权限极低,很多基本命令都执行不了
但是可以看到上面有个提示,用?或者help命令获取提示
只有这些命令,可以考虑以下使用shell逃逸提权
补充:首先来介绍一下什么是受限制的shell。简单理解,受限制的shell是说限制了一个shell的部分命令,像cd、ls、echo,或者是限制了一些环境变量,诸如SHELL、PATH、USER。有些情况下,受限制的shell也会限制包含/的命令,或者限制一些输出符,像>、>>等。常见的受限制shell有:rbash、rksh、rsh
(在网上查的,参考:渗透技巧——如何逃逸Linux的受限制shell执行任意命令_网易订阅)
可以尝试使用echo os.system(‘/bin/bash’)命令执行shell逃逸
切换了以后,再使用cd就不会被踢出了
使用ps -ef命令查看服务器进程信息,发现root用户开启了一个mysql进程
然后使用find / -perm -u=s -type f 2>/dev/null命令查看有关suid提权的命令
没有啥可用信息,但从之前网页收集到信息可以看到该网站是php站点,可以寻找一些php文件看看有没有可以利用的数据
cat试一下,发现了mysql的账号和密码
登录数据库:
在网上查了一下,数据库有个提权方式交UDF提权,可以去看看这篇文章:
linux环境下的MySQL UDF提权_mysql udf提权 linux-CSDN博客
查看udf表
利用sys_exec将john添加到管理员组
退出数据库,使用sudo su命令,输入之前获取到的密码。提权成功
本次的靶场思路是利用sql注入获取到连接ssh的账号和密码,进去之后利用shell逃逸在受限制的shell上执行命令,然后根据网站结构寻找到登录数据库的账号和密码,利用数据库的UDF提权方式以及sys_exec函数将可登录的账户添加到root组中。