CTF实战 | Kioptrix(#3)靶机渗透测试 – 作者:D3ck

ioptrix(#3)靶机渗透测试

前记

本文分为二个部分,第一部分是因为前面一篇文章已经开头写了Kioptrix_level_1的靶机,后面我们肯定是要接着干的,故出了leve_3的。(你肯定要问那level_2呢?那篇随缘随缘~~);第二部分是因为这篇文章可能是本人编辑的问题,后面2个flag没发表出来,也有一些小伙伴私信我问后面怎么搞,故把前面的坑在这里填上,如哪里写的不好,各位大佬请多多包含,万分感谢!!

靶机下载/搭建:

http://www.kioptrix.com/blog/dlvm/KVM3.rar

ioptrix(#3)靶机渗透测试

开始

靶机IP探测,为192.168.1.131:

ioptrix(#3)靶机渗透测试

nmap神器开路

可以看到比较简单只开放了22,80 端口服务

打开http://192.168.1.131 御剑神器跑跑目录,本菜使用dirb

ioptrix(#3)靶机渗透测试

发现了/phpmyadmin/  /gallery,其中/gallery也是一个突破点;后面我们继续跟进。 /phpmyadmin大家都知道是什么,就不介绍了。

访问http://192.168.1.131/,有个登陆口,点击后可以看到抬头处出现了“LotusCMS Administration

ioptrix(#3)靶机渗透测试

我们直接搜索“LotusCMS”漏洞可以看到有ruby版的,直接开启MSF利用

ioptrix(#3)靶机渗透测试

ioptrix(#3)靶机渗透测试

使用MSF继续渗透,得到一个php shell

ioptrix(#3)靶机渗透测试

(这里小伙伴们又要问了,居然都拿到shell了,直接提权啊,本菜当时也试了很多很多EXP,均未能提权成功!)

前面看到了有个phpmyadmin,既然都已经有shell了我们就直接搜索拿mysql账号密码就好了,使用关键字“localhost”,搜索命令:

grep -r “localhost” /home

ioptrix(#3)靶机渗透测试

找到了路径和文件,读取该文件得到账号密码:root / fuckeyou

ioptrix(#3)靶机渗透测试

使用phpmyadmin登陆,并获取用户账号密码

ioptrix(#3)靶机渗透测试

这2个密码都能解,其中dreg用户没有什么利用价值。

(PS:上面说到的/gallery目录,通过互联网搜索gallery漏洞,发现有一处SQL注入,我们也可以通过这个注入来获取这个账号密码。然而我懒就不演示这个了…..

ioptrix(#3)靶机渗透测试

我们继续使用“loneferret”来登陆ssh,密码为starwars

ioptrix(#3)靶机渗透测试

登陆后可以看到一个“CompanyPolicy.README”文件查看后,可以看到是’CEO‘写的,里面看到了比较熟悉的ht编辑器,我们继续安装提示输入命令:

ioptrix(#3)靶机渗透测试

通过F3选择打开文件。本处有2种方法绕过:

第一种为通过读取修改/etc/passwd文件来让loneferret”变成root用户权限,

ioptrix(#3)靶机渗透测试

本菜使用第二种方法:

读取打开/etc/soudoers,在loneferret”这行最末尾加入’/bin/sh‘,保存退出

ioptrix(#3)靶机渗透测试

最后一步只需要执行:sudo /bin/sh

ioptrix(#3)靶机渗透测试

成功获取root权限!Congrats.txt 文件里是这个靶机自留的一些漏洞EXP地址和介绍:

ioptrix(#3)靶机渗透测试

本段完!

以下内容接前面的文章!

访问/vault 目录发现存在目录遍历打算里面包含大量大量目录和文件,本菜使用了最笨的方法wget down下来这个页面 (down了半个小时左右就问还有谁!还有谁!!)

ioptrix(#3)靶机渗透测试

但是因为文件非常非常多,无法一条一条的去点,所以本菜使用了反向搜索来过滤.html文件,得到以下2个可疑文件。

ioptrix(#3)靶机渗透测试

搞过WIFI的小伙子一看肯定就知道该怎么继续了… cap文件是握手包,rockyou是字典(KALI上也有自带)

我们使用命令:aircrack-ng ctf.cap -w rockyou.txt  加载该握手包和字典破解,

ioptrix(#3)靶机渗透测试

得到密码:minion.666

直接使用这个作为密码登陆系统。(当时到了此处时,本菜脑子一下子掉进坑里,一直把握手包的名字当账号输入了,试到怀疑自己是不是搞错了。。。)其实账号就是最简单的 admin,

这个flag在登陆后的源码里,小伙伴们可以自己去找下!(当时没有截图….)

登陆以后经过简单测试发现了一处SQL注入,然后我们就屁颠屁颠的操起SQLMAP一顿乱插,然后如图:

ioptrix(#3)靶机渗透测试

怎么样都跑不出东西….

最后通过重新学习sqlmap手册,通过–sql-query 拿到了最后一个flag。

ioptrix(#3)靶机渗透测试

如上图,本次测试以拿到全部flag为止。

感谢各位大佬的观看,谢谢!

*本文作者:D3ck,转载请注明来自 FreeBuf.COM

来源:freebuf.com 2018-05-14 15:00:19 by: D3ck

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论