VulnHub-Kioptrix-Level 3

nmap 发现靶机IP 192.168.1.103

-sV 扫描后只发现了22和80端口

nitko搜到了phpmyadmin后台

admin默认无密码，但root不是

由于是admin权限，只能看到information_schema 虚拟数据库，没什么用

换个思路，尝试DirBuster扫描目录

通过version可以看到Gallery的版本

exploit-db 搜一下漏洞，存在SQL注入

sqlmap跑一下提示的注入点，可以获取数据库信息

查看gallery，通过CMS的文档可知，dev_accounts存储了系统账号，直接dump出

同时，之前的信息搜集可以发现，dreg和loneferret是两个系统用户名，猜测密码复用

尝试ssh连接，kali没配置好，mobaxterm客串一下，列举目录下文件

发现checksec.sh可能利用，分析后发现不可用（后续介绍），又看到了README

意思是有一个叫ht的文本编辑器，尝试sudo ht发现不用密码

F3打开文件/etc/sudoers，配置权限，给nopass下执行/usr/bin

保存后，使用sudo -l可以列举当前不用密码的情况

sudo bash后就是root

第二种利用方法是利用ht编辑/etc/shadow 修改root密码，我就直接修改成了loneferret的

还有一种方法是修改/etc/passwd 加入新的用户root2，使用密码toor登录即可

网站指纹识别，可以在Login界面看源码

知道是LotusCMS，到exploit-db上找漏洞，也有现成的shell工具

https://github.com/Hood3dRob1n/LotusCMS-Exploit

反弹shell

传LinEnum.sh，查看系统信息

Ubuntu 8 的版本很老，linux版本在2.6.22-3.9，因此选择脏牛

传至靶机/tmp编译（参考说明）运行，设置了新的root权限用户

新建tty的shell去su firefart

python -c "import pty;pty.spawn('/bin/bash')"