OSCP靶场训练冒险之kioprix4：shell逃逸以及利用数据库提权

声明！
学习资源来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下，如涉及侵权马上删除文章，笔记只是方便各位师傅的学习和探讨，文章所提到的网站以及内容，只做学习交流，其他均与本人以及泷羽sec团队无关，切勿触碰法律底线，否则后果自负！！！！有兴趣的小伙伴可以点击下面连接进入b站主页[B站泷羽sec](https://space.bilibili.com/350329294)

---

有想要了解oscp认证证书的可以私信我哦，泷羽sec新年特惠！！！

---

kioprix4靶机wp

环境：

攻击机：kali ip地址：192.168.66.141

靶机：kioprix4 ip地址：192.168.66.134

安装好靶机后，使用nmap扫描网段获得靶机ip：

使用nmap -sS -sV -p 22,80,139,445 192.168.66.134查看目标ip的端口详细信息

使用dirb扫描该ip下的文件夹

在扫描时我们可以访问该目标网站可以看到该网站是一个登录框

尝试使用弱口令登录，失败

对其尝试使用sql注入，在密码栏处注入，报错了说明其存在sql注入漏洞

回到文件夹扫描，发现其存在一个疑似用户名的php文件

使用这个用户名加上sql注入登录试试

还是报错，上网查了一下说可能是语法的问题，换个注入语法尝试一下

（之前使用的是1‘ and -- +）

换成1’ or 1=1 -- +,成功登录，获取到用户名密码

利用获取到的用户名密码进行ssh登录

但是该用户的权限极低，很多基本命令都执行不了

但是可以看到上面有个提示，用？或者help命令获取提示

只有这些命令，可以考虑以下使用shell逃逸提权

补充：首先来介绍一下什么是受限制的shell。简单理解,受限制的shell是说限制了一个shell的部分命令,像cd、ls、echo,或者是限制了一些环境变量,诸如SHELL、PATH、USER。有些情况下,受限制的shell也会限制包含/的命令,或者限制一些输出符,像>、>>等。常见的受限制shell有:rbash、rksh、rsh

（在网上查的，参考：渗透技巧——如何逃逸Linux的受限制shell执行任意命令_网易订阅）

可以尝试使用echo os.system(‘/bin/bash’)命令执行shell逃逸

切换了以后，再使用cd就不会被踢出了

使用ps -ef命令查看服务器进程信息，发现root用户开启了一个mysql进程

然后使用find / -perm -u=s -type f 2>/dev/null命令查看有关suid提权的命令

没有啥可用信息，但从之前网页收集到信息可以看到该网站是php站点，可以寻找一些php文件看看有没有可以利用的数据

cat试一下，发现了mysql的账号和密码

登录数据库：

在网上查了一下，数据库有个提权方式交UDF提权，可以去看看这篇文章：

linux环境下的MySQL UDF提权_mysql udf提权 linux-CSDN博客

查看udf表

利用sys_exec将john添加到管理员组

退出数据库，使用sudo su命令，输入之前获取到的密码。提权成功

本次的靶场思路是利用sql注入获取到连接ssh的账号和密码，进去之后利用shell逃逸在受限制的shell上执行命令，然后根据网站结构寻找到登录数据库的账号和密码，利用数据库的UDF提权方式以及sys_exec函数将可登录的账户添加到root组中。

 

原文地址：https://blog.csdn.net/weixin_74543604/article/details/144778775

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！