https://www.vulnhub.com/entry/kioptrix-level-12-3,24/
目标
-得到root
*如果要下载来玩建议不要看, 因为剧透了
1. 打开你的Kali和靶机(Kioptrix: Level 1.2 (#3))
2. 使用netdiscover识别靶机.
3. 使用Zenmap扫描靶机看有什么服务端口和确定是不是靶机.
4. 打开靶机上面的网页看看.
5. 爆破一下看有没有其他网页, 还发现有几个然后就一个一个查看.
6. 把全部网页都打开来.
7. 就这一个我发现是有可能有LFI漏洞之类的先保留.
8. 然后我再查看网页码的时侯有发现一个keyword的东西.
11. 那么最后我选择用github下的, 因为还有教程.
12. 使用git clone下载.
13.进入刚刚下载的LotusCMS-Exploit文件夹, 然后查看运行lotusRCE.sh的条件.
运行了一下发现它是用来反弹shell的.
14. 使用netcat监听666端口.
15. 运行lotusRCE.sh脚本.
#./lotusRCE.sh [靶机IP]
16. 填入
-自己的IP
-netcat的端口
-选择1 (NetcCat -e)
17. 反弹成功.
18. 查看一下基本信息. 因为是最底层所以浏览文件几乎没有权限.
19. 使用pyhton换Shell, 然后再打开看能不能访问shadow. 是不能地.
python -c 'import pty; pty.spawn("/bin/sh")'
*grep 可以用来查找文件详细资料可以自己寻找.
https://blog.csdn.net/laobai1015/article/details/89458441
21. 所以这次直接浏览gallarific_mysql. 就得到了mysql的
Username : root
Password : fuckeyou
22. 登入mysql成功.
23. 看看有什么table.
> show databases;
24. 然后一个一个查看.
25. 换到gallery table.
26. 然后看到有accounts的table,打开看我们看到有两个账号和被hash保护的密码.
>select * from dev_accounts;
*明文翻译上面的命令就是"选择在这目录的全部数据"
select [*=All] from [Table Name];
27. 那么再看看gallarific_users table看一下.
28. 通常密码的加密都是MD5,所以随便打开一个解MD5 Hash的网站试一试果然解开了.
保险一点两个Hash都解开.
30. 然后使用SSH登入刚刚得到的账号和密码, 那么只有loneferret账号成功登入.
登入不到
Username: dreg
Password: Mast3r
成功登入
Username: loneferret
Password:starwars
31.查看一下基本信息, root可以NOPASSWD. 上网查了一下没有....
32. 看看这个用户下有什么文件, 有两个文件那么先打开看看checksec.sh
33. 再看看CompanyPolicy.ReadME, 居然显示"请使用sudo ht启动".
34. 那么试一试启动发现有问题, 但是很简单就解决了.
$export TERM=xterm
https://stackoverflow.com/questions/6804208/nano-error-error-opening-terminal-xterm-256color
35. 出现了这个界面, 上网查了一下是一个HT Editor Documentation软件可以用来editor文件. 因为是root启用的所以应该可以用来修改文件来得到root (上网查看到.
*HT Editor教程
http://hte.sourceforge.net/readme.html
36. 按F3打开搜索文件夹界面.
输入/etc/sudoers > Enter.
37. 就进入了我们需要修改的文件.
38. 这里只要选择的行后面加上“, /bin/bash”就可以了.
Alt + s (保存)
Ctrl + c (退出)
39. 确认还没有root权限, 然后调用刚刚加入的/bin/bash shell.
root权限Get.
40. 确定用户.
感谢阅读.
No comments:
Post a Comment